Streaming API-Unterstützung für Data Security-Tabellen in Microsoft Defender XDR Advanced Hunting

Veröffentlicht am

2025

Aktualisiert am

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

Microsoft Defender XDR unterstützt ab Ende August 2025 die Streaming-API für die Tabellen DataSecurityEvents und DataSecurityBehaviors. Dadurch ist eine Echtzeitübermittlung von Insider-Risikowarnungen über Event Hubs möglich. Diese Push-basierte Funktion ist standardmäßig deaktiviert, erfordert eine Einrichtung und ermöglicht die Integration mit externen Plattformen bei gleichzeitiger Administratorsteuerung über Entra ID.

Im Rahmen der Integration zwischen Microsoft Purview Insider Risk Management und Microsoft Defender XDR aktivieren wir die Streaming-API-Unterstützung für zwei Advanced Hunting-Tabellen: DataSecurityEvents und DataSecurityBehaviors. Diese Tabellen enthalten Daten zu Insider-Risikoalarmen, und diese Erweiterung ermöglicht es Organisationen, Daten in Echtzeit über Event Hubs zu empfangen. Wir laden Ihre Organisation ein, diese Funktion zu erkunden und Feedback zu geben.

Wann dies geschieht:

Öffentliche Vorschau: Der Rollout beginnt Ende August 2025 und soll bis Mitte September 2025 abgeschlossen sein.

Wie sich dies auf Ihre Organisation auswirkt:

Mit der Unterstützung der Streaming-API kann Ihre Organisation Insider-Risikoalarmdaten sofort erhalten, sobald sie in den Tabellen DataSecurityEvents und DataSecurityBehaviors verfügbar sind. Dieses Push-basierte Modell eliminiert die Notwendigkeit für wiederholtes Abfragen im Gegensatz zur Graph API, die Pull-basierte Anfragen erfordert. Diese Verbesserung erhöht die Aktualität der Daten und reduziert die Belastung für Sicherheitsteams.

Diese Funktion ist standardmäßig deaktiviert und erfordert eine Konfiguration, um mit dem Streaming von Daten zu beginnen.

Was Sie tun können, um sich vorzubereiten:

Richten Sie einen Event Hub oder einen Speicherort ein, um Daten zu streamen.
Befolgen Sie die Einrichtungshinweise hier: https://learn.microsoft.com/en-us/defender-endpoint/api/raw-data-export

Compliance-Überlegungen:

Alters how existing customer data is processed, stored, or accessed: Ja – Insider-Risikoalarmdaten werden nun in Echtzeit an kundendefinierte Event Hubs gestreamt, was die Art und Weise des Datenzugriffs ändert.
Fügt die Integration in Drittanbieter-Softwareprodukte hinzu: Ja – Die Streaming-API ermöglicht die Integration mit externen SIEM- und Datenplattformen über Event Hubs.
Enthält eine Administrationskontrolle und kann über die Entra ID-Gruppenmitgliedschaft gesteuert werden: Ja – Administratoren können Zugriff und Streaming-Endpunkte konfigurieren sowie Berechtigungen über Entra ID steuern.

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.

Kontakt

Zum originalen Post im Message Center >