Použití rozhraní API pro streamování s Microsoft Defender pro firmy
Pokud má vaše organizace službu Security Operations Center (SOC), je pro Defender pro firmy a Microsoft 365 Business Premium k dispozici možnost používat rozhraní API pro streamování Microsoft Defender for Endpoint. Rozhraní API umožňuje streamovat data, jako je soubor zařízení, registr, síť, události přihlášení a další, do jedné z následujících služeb:
- Microsoft Sentinel, škálovatelné nativní cloudové řešení, které poskytuje možnosti správy informací o zabezpečení a událostí (SIEM) a orchestrace, automatizace a reakce zabezpečení (SOAR).
- Azure Event Hubs, moderní platforma pro streamování velkých objemů dat a služba pro příjem událostí, která se dokáže bezproblémově integrovat s dalšími službami Azure a Microsoftu, jako jsou Stream Analytics, Power BI a Event Grid, spolu s externími službami, jako je Apache Spark.
- Azure Storage, řešení cloudového úložiště Microsoftu pro moderní scénáře ukládání dat s vysoce dostupným, masivně škálovatelným, odolným a zabezpečeným úložištěm pro různé datové objekty v cloudu.
S rozhraním API pro streamování můžete používat pokročilé proaktivní vyhledávání a detekci útoků s Defender pro firmy a Microsoft 365 Business Premium. Rozhraní API pro streamování umožňuje socům zobrazit více dat o zařízeních, lépe pochopit, jak k útoku došlo, a podniknout kroky ke zlepšení zabezpečení zařízení.
Poznámka
Microsoft Sentinel je placená služba. K dispozici je několik plánů a cenových možností. Viz ceny Microsoft Sentinel.
Ujistěte se, že je nastavená a nakonfigurovaná Defender pro firmy a že zařízení jsou už nasazená. Viz Nastavení a konfigurace Microsoft Defender pro firmy.
Vytvořte pracovní prostor služby Log Analytics, který budete používat s Sentinel. Viz Vytvoření pracovního prostoru služby Log Analytics.
Onboarding do Microsoft Sentinel. Viz Rychlý start: Onboarding Microsoft Sentinel.
Povolte konektor Microsoft Defender XDR. Viz Připojení dat z Microsoft Defender XDR k Microsoft Sentinel.
Poznámka
Azure Event Hubs vyžaduje předplatné Azure. Než začnete, nezapomeňte ve svém tenantovi vytvořit centrum událostí . Pak se přihlaste k Azure Portal a přejděte na Předplatná>Vaše předplatné>Poskytovatelé> prostředkůZaregistrujte se do Microsoft.insights.
Přejděte na portál Microsoft Defender a přihlaste se.
Přejděte na stránku Nastavení exportu dat.
Vyberte Přidat nastavení exportu dat.
Zvolte název nového nastavení.
Zvolte Přeposlat události k Azure Event Hubs.
Zadejte název služby Event Hubs a ID služby Event Hubs.
Poznámka
Pokud pole Název služby Event Hubs ponecháte prázdné, vytvoří se centrum událostí pro každou kategorii ve vybraném oboru názvů. Pokud nepoužíváte vyhrazený cluster služby Event Hubs, mějte na paměti, že existuje limit 10 oborů názvů služby Event Hubs.
Id služby Event Hubs získáte tak, že v Azure Portal přejdete na stránku oboru názvů Azure Event Hubs. Na kartě Vlastnosti zkopírujte text v části ID.
Zvolte události, které chcete streamovat, a pak vyberte Uložit.
Schéma událostí v Azure Event Hubs vypadá takto:
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Každá zpráva centra událostí v Azure Event Hubs obsahuje seznam záznamů. Každý záznam obsahuje název události, čas, Defender pro firmy událost obdrželi, tenanta, do kterého patří (události získáváte jenom z vašeho tenanta) a událost ve formátu JSON ve vlastnosti s názvem "properties". Další informace o schématu najdete v tématu Proaktivní vyhledávání hrozeb s pokročilým proaktivním vyhledáváním v Microsoft Defender XDR.
Azure Storage vyžaduje předplatné Azure. Než začnete, nezapomeňte ve svém tenantovi vytvořit účet úložiště . Pak se přihlaste ke svému tenantovi Azure a přejděte na Předplatná>Vaše předplatné>Poskytovatelé> prostředkůZaregistrujte se do Microsoft.insights.
Přejděte na portál Microsoft Defender a přihlaste se.
Přejděte na stránku nastavení exportu dat v Microsoft Defender XDR.
Vyberte Přidat nastavení exportu dat.
Zvolte název nového nastavení.
Zvolte Přeposlat události do Azure Storage.
Zadejte ID prostředku účtu úložiště. Pokud chcete získat ID prostředku účtu úložiště, přejděte na stránku účtu úložiště v Azure Portal. Potom na kartě Vlastnosti zkopírujte text v části ID prostředku účtu úložiště.
Zvolte události, které chcete streamovat, a pak vyberte Uložit.
Pro každý typ události se vytvoří kontejner objektů blob. Schéma každého řádku v objektu blob je následující soubor JSON:
{
"time": "<The time WDATP received the event>"
"tenantId": "<Your tenant ID>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
Každý objekt blob obsahuje více řádků. Každý řádek obsahuje název události, čas, kdy Defender pro firmy událost přijala, tenanta, do kterého patří (události získáte jenom z vašeho tenanta) a událost ve vlastnostech formátu JSON. Další informace o schématu událostí Microsoft Defender for Endpoint najdete v tématu Proaktivní vyhledávání hrozeb s pokročilým proaktivním proaktivním vyhledáváním v Microsoft Defender XDR.
- Rozhraní API pro streamování nezpracovaných dat v Defenderu for Endpoint