استخدام واجهة برمجة تطبيقات الدفق مع Microsoft Defender for Business

إذا كان لدى مؤسستك مركز عمليات أمان (SOC)، فإن القدرة على استخدام واجهة برمجة تطبيقات دفق Microsoft Defender لنقطة النهاية متاحة Defender for BusinessMicrosoft 365 Business Premium. تمكنك واجهة برمجة التطبيقات من دفق البيانات، مثل ملف الجهاز والتسجيل والشبكة وأحداث تسجيل الدخول والمزيد إلى إحدى الخدمات التالية:

• Microsoft Sentinel: حل سحابي أصلي قابل للتطوير يوفر معلومات الأمان وإدارة الأحداث (SIEM) وقدرات تنسيق الأمان والأتمتة والاستجابة (SOAR).
• Azure مراكز الأحداث: نظام أساسي حديث لتدفق البيانات الضخمة وخدمة استيعاب الأحداث التي يمكن أن تتكامل بسلاسة مع خدمات Azure وMicrosoft الأخرى. على سبيل المثال، Stream Analytics وPower BI و Event Grid، جنبا إلى جنب مع الخدمات الخارجية مثل Apache Spark.
• تخزين Azure: حل التخزين السحابي من Microsoft لسيناريوهات تخزين البيانات الحديثة، مع تخزين عالي التوفر وقابل للتطوير على نطاق واسع ودائم وآمن لمجموعة متنوعة من كائنات البيانات في السحابة.

باستخدام واجهة برمجة تطبيقات الدفق، يمكنك استخدام الكشف المتقدم عن التتبع والهجمات مع Defender for Business Microsoft 365 Business Premium. تمكن واجهة برمجة تطبيقات الدفق مراكز عمليات الأمان من عرض المزيد من البيانات حول الأجهزة، وفهم كيفية حدوث هجوم بشكل أفضل، واتخاذ خطوات لتحسين أمان الجهاز.

استخدام واجهة برمجة تطبيقات الدفق مع Microsoft Sentinel

ملاحظة

Microsoft Sentinel هي خدمة مدفوعة الأجر. تتوفر العديد من الخطط وخيارات التسعير. راجع تسعير Microsoft Sentinel.

1. تأكد من إعداد Defender for Business وتكوينها، ومن إلحاق الأجهزة بالفعل. راجع إعداد Microsoft Defender for Business وتكوينها.

2. إنشاء مساحة عمل Log Analytics لاستخدامها مع Microsoft Sentinel. راجع إنشاء مساحة عمل Log Analytics.

3. إلحاق Microsoft Sentinel. راجع التشغيل السريع: إلحاق Microsoft Sentinel.

4. تمكين موصل Microsoft Defender XDR. راجع توصيل البيانات من Microsoft Defender XDR إلى Microsoft Sentinel.

استخدام واجهة برمجة تطبيقات الدفق مع مراكز الأحداث

ملاحظة

يتطلب مراكز أحداث Azure اشتراكا Azure. قبل البدء، تأكد من إنشاء مركز أحداث في مؤسستك. بعد ذلك، سجل الدخول إلى مدخل Azure، وانتقل إلى Subscriptions>Your subscription>Resource Providers>Register to Microsoft.insights.

1. انتقل إلى مدخل Microsoft Defender وسجل الدخول.

2. انتقل إلى صفحة إعدادات تصدير البيانات.

3. حدد Add data export settings.

4. اختر اسما للإعدادات الجديدة.

5. اختر إعادة توجيه الأحداث Azure مراكز الأحداث.

6. اكتب اسم مراكز الأحداثومعرف مراكز الأحداث.

   ملاحظة

   يؤدي ترك حقل اسم مراكز الأحداث فارغا إلى إنشاء مركز أحداث لكل فئة في مساحة الاسم المحددة. إذا كنت لا تستخدم مجموعة مراكز الأحداث المخصصة، فضع في اعتبارك أن هناك حد أقصى يبلغ 10 مساحات أسماء لمراكز الأحداث.

   للحصول على معرف مراكز الأحداث، انتقل إلى صفحة مساحة اسم مراكز الأحداث Azure في مدخل Azure. في علامة التبويب خصائص ، انسخ النص ضمن المعرف.

7. اختر الأحداث التي تريد دفقها ثم حدد حفظ.

مخطط الأحداث في مراكز الأحداث Azure

إليك ما يبدو عليه مخطط الأحداث في مراكز أحداث Azure:

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the organization that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

تحتوي كل رسالة مركز أحداث في مراكز أحداث Azure على قائمة بالسجلات. يحتوي كل سجل على اسم الحدث والوقت الذي Defender for Business تلقي الحدث والمؤسسة التي ينتمي إليها (تحصل على الأحداث من مؤسستك فقط) والحدث بتنسيق JSON في خاصية تسمى "خصائص". لمزيد من المعلومات حول المخطط، راجع البحث الاستباقي عن التهديدات من خلال التتبع المتقدم في Microsoft Defender XDR.

استخدام واجهة برمجة تطبيقات الدفق مع تخزين Azure

يتطلب تخزين Azure اشتراكا Azure. قبل البدء، تأكد من إنشاء حساب تخزين في مؤسستك. بعد ذلك، سجل الدخول إلى مؤسستك Azure، وانتقل إلى Subscriptions>Your subscription>Resource Providers>Register to Microsoft.insights.

تمكين تدفق البيانات الأولية

1. انتقل إلى مدخل Microsoft Defender وسجل الدخول.

2. انتقل إلى صفحة إعدادات تصدير البيانات في Microsoft Defender XDR.

3. حدد Add data export settings.

4. اختر اسما للإعدادات الجديدة.

5. اختر إعادة توجيه الأحداث إلى تخزين Azure.

6. اكتب معرف مورد حساب التخزين الخاص بك. للحصول على معرف مورد حساب التخزين، انتقل إلى صفحة حساب التخزين في مدخل Azure. بعد ذلك، في علامة التبويب خصائص ، انسخ النص ضمن معرف مورد حساب التخزين.

7. اختر الأحداث التي تريد دفقها ثم حدد حفظ.

مخطط الأحداث في حساب تخزين Azure

يتم إنشاء حاوية كائن ثنائي كبير الحجم لكل نوع حدث. مخطط كل صف في كائن ثنائي كبير الحجم هو ملف JSON التالي:

{
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

يحتوي كل كائن ثنائي كبير الحجم على صفوف متعددة. يحتوي كل صف على اسم الحدث والوقت الذي Defender for Business تلقي الحدث والمؤسسة التي ينتمي إليها (تحصل على الأحداث من مؤسستك فقط) والحدث بخصائص تنسيق JSON. لمزيد من المعلومات حول مخطط الأحداث Microsoft Defender لنقطة النهاية، راجع البحث الاستباقي عن التهديدات من خلال التتبع المتقدم في Microsoft Defender XDR.

راجع أيضًا

• واجهة برمجة تطبيقات تدفق البيانات الأولية في Defender لنقطة النهاية
• نظرة عامة على الإدارة و واجهات برمجة التطبيقات