استخدام واجهة برمجة تطبيقات الدفق مع Microsoft Defender for Business

إذا كان لدى مؤسستك مركز عمليات أمان (SOC)، فإن القدرة على استخدام واجهة برمجة تطبيقات دفق Microsoft Defender لنقطة النهاية متاحة ل Defender for BusinessMicrosoft 365 Business Premium. تمكنك واجهة برمجة التطبيقات من دفق البيانات، مثل ملف الجهاز والتسجيل والشبكة وأحداث تسجيل الدخول والمزيد إلى إحدى الخدمات التالية:

• Microsoft Sentinel، حل سحابي أصلي قابل للتطوير يوفر معلومات الأمان وإدارة الأحداث (SIEM) وقدرات تنسيق الأمان والأتمتة والاستجابة (SOAR).
• Azure Event Hubs، وهو نظام أساسي حديث لتدفق البيانات الضخمة وخدمة استيعاب الأحداث التي يمكن أن تتكامل بسلاسة مع خدمات Azure وMicrosoft الأخرى، مثل Stream Analytics وPower BI وشبكة الأحداث، جنبا إلى جنب مع الخدمات الخارجية مثل Apache Spark.
• Azure Storage، حل التخزين السحابي من Microsoft لسيناريوهات تخزين البيانات الحديثة، مع تخزين عالي التوفر وقابل للتطوير على نطاق واسع ودائم وآمن لمجموعة متنوعة من كائنات البيانات في السحابة.

باستخدام واجهة برمجة تطبيقات الدفق، يمكنك استخدام الكشف المتقدمعن التتبع والهجمات مع Defender for Business Microsoft 365 Business Premium. تمكن واجهة برمجة تطبيقات البث SOCs من عرض المزيد من البيانات حول الأجهزة، وفهم كيفية حدوث هجوم بشكل أفضل، واتخاذ خطوات لتحسين أمان الجهاز.

استخدام واجهة برمجة تطبيقات الدفق مع Microsoft Sentinel

ملاحظة

Microsoft Sentinel هي خدمة مدفوعة. تتوفر العديد من الخطط وخيارات التسعير. راجع أسعار Microsoft Sentinel.

1. تأكد من إعداد Defender for Business وتكوينه، ومن إلحاق الأجهزة بالفعل. راجع إعداد Microsoft Defender for Business وتكوينها.

2. الإنشاء مساحة عمل Log Analytics التي ستستخدمها مع Sentinel. راجع الإنشاء مساحة عمل Log Analytics.

3. إلحاق Microsoft Sentinel. راجع التشغيل السريع: إلحاق Microsoft Sentinel.

4. تمكين موصل Microsoft Defender XDR. راجع توصيل البيانات من Microsoft Defender XDR إلى Microsoft Sentinel.

استخدام واجهة برمجة تطبيقات الدفق مع مراكز الأحداث

ملاحظة

تتطلب Azure Event Hubs اشتراك Azure. قبل البدء، تأكد من إنشاء مركز أحداث في المستأجر الخاص بك. ثم سجل الدخول إلى مدخل Microsoft Azure، وانتقل إلى Subscriptions>Your subscription>Resource Providers>Register to Microsoft.insights.

1. انتقل إلى مدخل Microsoft Defender وسجل الدخول كمسؤول عام أو مسؤول أمان.

2. انتقل إلى صفحة إعدادات تصدير البيانات.

3. حدد Add data export settings.

4. اختر اسما للإعدادات الجديدة.

5. اختر إعادة توجيه الأحداث إلى Azure Event Hubs.

6. اكتب اسم مراكز الأحداثومعرف مراكز الأحداث.

   ملاحظة

   يؤدي ترك حقل اسم مراكز الأحداث فارغا إلى إنشاء مركز أحداث لكل فئة في مساحة الاسم المحددة. إذا كنت لا تستخدم مجموعة مراكز الأحداث المخصصة، فضع في اعتبارك أن هناك حد أقصى يبلغ 10 مساحات أسماء لمراكز الأحداث.

   للحصول على معرف مراكز الأحداث، انتقل إلى صفحة مساحة اسم مراكز الأحداث في مدخل Microsoft Azure. في علامة التبويب خصائص ، انسخ النص ضمن المعرف.

7. اختر الأحداث التي تريد دفقها ثم حدد حفظ.

مخطط الأحداث في Azure Event Hubs

إليك ما يبدو عليه مخطط الأحداث في Azure Event Hubs:

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

تحتوي كل رسالة مركز أحداث في Azure Event Hubs على قائمة بالسجلات. يحتوي كل سجل على اسم الحدث، والوقت الذي استلم فيه Defender for Business الحدث، والمستأجر الذي ينتمي إليه (تحصل على الأحداث من المستأجر فقط)، والحدث بتنسيق JSON في خاصية تسمى "خصائص". لمزيد من المعلومات حول المخطط، راجع البحث الاستباقي عن التهديدات من خلال التتبع المتقدم في Microsoft Defender XDR.

استخدام واجهة برمجة تطبيقات الدفق مع Azure Storage

يتطلب Azure Storage اشتراك Azure. قبل البدء، تأكد من إنشاء حساب تخزين في المستأجر الخاص بك. ثم سجل الدخول إلى مستأجر Azure الخاص بك، وانتقل إلى Subscriptions>Your subscription>Resource Providers>Register to Microsoft.insights.

تمكين تدفق البيانات الأولية

1. انتقل إلى مدخل Microsoft Defender وسجل الدخول كمسؤول عام أو مسؤول أمان.

2. انتقل إلى صفحة إعدادات تصدير البيانات في Microsoft Defender XDR.

3. حدد Add data export settings.

4. اختر اسما للإعدادات الجديدة.

5. اختر إعادة توجيه الأحداث إلى Azure Storage.

6. اكتب معرف مورد حساب التخزين الخاص بك. للحصول على معرف مورد حساب التخزين، انتقل إلى صفحة حساب التخزين في مدخل Microsoft Azure. بعد ذلك، في علامة التبويب خصائص ، انسخ النص ضمن معرف مورد حساب التخزين.

7. اختر الأحداث التي تريد دفقها ثم حدد حفظ.

مخطط الأحداث في حساب Azure Storage

يتم إنشاء حاوية كائن ثنائي كبير الحجم لكل نوع حدث. مخطط كل صف في كائن ثنائي كبير الحجم هو ملف JSON التالي:

{
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

يحتوي كل كائن ثنائي كبير الحجم على صفوف متعددة. يحتوي كل صف على اسم الحدث، والوقت الذي استلم فيه Defender for Business الحدث، والمستأجر الذي ينتمي إليه (تحصل على الأحداث من المستأجر فقط)، والحدث بخصائص تنسيق JSON. لمزيد من المعلومات حول مخطط الأحداث Microsoft Defender لنقطة النهاية، راجع البحث الاستباقي عن التهديدات من خلال التتبع المتقدم في Microsoft Defender XDR.

راجع أيضًا

• واجهة برمجة تطبيقات تدفق البيانات الأولية في Defender لنقطة النهاية