Použití rozhraní API pro streamování s Microsoft Defender pro firmy
Pokud má vaše organizace centrum SOC (Security Operations Center), možnost používat rozhraní API pro streamování Microsoft Defender for Endpoint je dostupná pro Defender pro firmy a Microsoft 365 Business Premium. Rozhraní API umožňuje streamovat data, jako je soubor zařízení, registr, síť, události přihlášení a další, do jedné z následujících služeb:
- Microsoft Sentinel, škálovatelné nativní cloudové řešení, které poskytuje možnosti správy informací o zabezpečení a událostí (SIEM) a orchestrace, automatizace a reakce zabezpečení (SOAR).
- Azure Event Hubs, moderní platforma pro streamování velkých objemů dat a služba pro příjem událostí, která se dokáže bezproblémově integrovat s dalšími službami Azure a Microsoftu, jako jsou Stream Analytics, Power BI a Event Grid, spolu s externími službami, jako je Apache Spark.
- Azure Storage, řešení cloudového úložiště Microsoftu pro moderní scénáře ukládání dat s vysoce dostupným, masivně škálovatelným, odolným a zabezpečeným úložištěm pro různé datové objekty v cloudu.
S rozhraním API pro streamování můžete používat pokročilé proaktivní vyhledávání a detekci útoků pomocí Defenderu pro firmy a Microsoft 365 Business Premium. Rozhraní API pro streamování umožňuje socům zobrazit více dat o zařízeních, lépe pochopit, jak k útoku došlo, a podniknout kroky ke zlepšení zabezpečení zařízení.
Použití rozhraní API pro streamování se službou Microsoft Sentinel
Poznámka
Microsoft Sentinel je placená služba. K dispozici je několik plánů a cenových možností. Viz Ceny služby Microsoft Sentinel.
Ujistěte se, že je defender pro firmy nastavený a nakonfigurovaný a že zařízení už jsou onboardovaná. Viz Nastavení a konfigurace Microsoft Defender pro firmy.
Create pracovní prostor služby Log Analytics, který budete používat se službou Sentinel. Viz Create pracovního prostoru služby Log Analytics.
Připojte se ke službě Microsoft Sentinel. Viz Rychlý start: Onboarding služby Microsoft Sentinel.
Povolte konektor Microsoft Defender XDR. Viz Připojení dat z Microsoft Defender XDR ke službě Microsoft Sentinel.
Použití rozhraní API pro streamování se službou Event Hubs
Poznámka
Azure Event Hubs vyžaduje předplatné Azure. Než začnete, nezapomeňte ve svém tenantovi vytvořit centrum událostí . Pak se přihlaste k Azure Portal a přejděte na Předplatná>Vaše předplatné>Poskytovatelé> prostředkůZaregistrujte se do Microsoft.insights.
Přejděte na portál Microsoft Defender a přihlaste se jako globální správce nebo správce zabezpečení.
Přejděte na stránku Nastavení exportu dat.
Vyberte Přidat nastavení exportu dat.
Zvolte název nového nastavení.
Zvolte Přeposlat události k Azure Event Hubs.
Zadejte název služby Event Hubs a ID služby Event Hubs.
Poznámka
Pokud pole Název služby Event Hubs ponecháte prázdné, vytvoří se centrum událostí pro každou kategorii ve vybraném oboru názvů. Pokud nepoužíváte vyhrazený cluster služby Event Hubs, mějte na paměti, že existuje limit 10 oborů názvů služby Event Hubs.
Id služby Event Hubs získáte tak, že v Azure Portal přejdete na stránku oboru názvů Azure Event Hubs. Na kartě Vlastnosti zkopírujte text v části ID.
Zvolte události, které chcete streamovat, a pak vyberte Uložit.
Schéma událostí v Azure Event Hubs
Schéma událostí v Azure Event Hubs vypadá takto:
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Každá zpráva centra událostí v Azure Event Hubs obsahuje seznam záznamů. Každý záznam obsahuje název události, čas, kdy Defender pro firmy událost přijal, tenanta, do kterého patří (události získáte jenom z vašeho tenanta) a událost ve formátu JSON ve vlastnosti s názvem "properties". Další informace o schématu najdete v tématu Proaktivní vyhledávání hrozeb s pokročilým proaktivním vyhledáváním v Microsoft Defender XDR.
Použití rozhraní API pro streamování se službou Azure Storage
Azure Storage vyžaduje předplatné Azure. Než začnete, nezapomeňte ve svém tenantovi vytvořit účet úložiště . Pak se přihlaste ke svému tenantovi Azure a přejděte na Předplatná>Vaše předplatné>Poskytovatelé> prostředkůZaregistrujte se do Microsoft.insights.
Povolení streamování nezpracovaných dat
Přejděte na portál Microsoft Defender a přihlaste se jako globální správce nebo správce zabezpečení.
Přejděte na stránku nastavení exportu dat v Microsoft Defender XDR.
Vyberte Přidat nastavení exportu dat.
Zvolte název nového nastavení.
Zvolte Přeposlat události do Azure Storage.
Zadejte ID prostředku účtu úložiště. Pokud chcete získat ID prostředku účtu úložiště, přejděte na stránku účtu úložiště v Azure Portal. Potom na kartě Vlastnosti zkopírujte text v části ID prostředku účtu úložiště.
Zvolte události, které chcete streamovat, a pak vyberte Uložit.
Schéma událostí v účtu Azure Storage
Pro každý typ události se vytvoří kontejner objektů blob. Schéma každého řádku v objektu blob je následující soubor JSON:
{
"time": "<The time WDATP received the event>"
"tenantId": "<Your tenant ID>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
Každý objekt blob obsahuje více řádků. Každý řádek obsahuje název události, čas, kdy Defender pro firmy událost přijal, tenanta, do kterého patří (události získáte jenom z vašeho tenanta) a událost ve vlastnostech formátu JSON. Další informace o schématu událostí Microsoft Defender for Endpoint najdete v tématu Proaktivní vyhledávání hrozeb s pokročilým proaktivním proaktivním vyhledáváním v Microsoft Defender XDR.
Viz také
- Rozhraní API pro streamování nezpracovaných dat v Defenderu for Endpoint