我想要将 Microsoft Defender 日志导出到 SIEM 工具。
我已完成以下操作:
- 创建事件中心命名空间
ns-defender - 在命名空间内创建了事件中心
eh-defender - 单击“订阅”->“生产”->“设置:资源提供商”->“microsoft.insights”→单击“注册”
现在,当我尝试进入security.microsoft.com -> Settings -> Microsoft XDR Defender -> Streaming API -> +Add然后输入以下内容:
- 姓名:
sas-defender - 将事件转发到事件中心
- Event-Hub 资源 ID:
/subscriptions/xxx/resourceGroups/yyy/providers/Microsoft.EventHub/namespaces/ns-defender - 事件中心:
eh-defender
然后我收到以下错误:
Failed to create Streaming API settings
{"code":"BadRequest","message":"Category 'AdvancedHunting-DeviceFileEvents_CustomCollection' is not supported."}
我做错了什么?