Brug streaming-API'en med Microsoft Defender til virksomheder
Hvis din organisation har et SOC (Security Operations Center), er muligheden for at bruge Microsoft Defender for Endpoint streaming-API tilgængelig for Defender for Business og Microsoft 365 Business Premium. API'en giver dig mulighed for at streame data, f.eks. enhedsfil, registreringsdatabase, netværk, logonhændelser og mere til en af følgende tjenester:
- Microsoft Sentinel, en skalerbar, cloudbaseret løsning, der leverer sikkerhedsoplysninger og hændelsesstyring (SIEM) og soAR-funktioner (Security Orchestration), automatisering og svar (SOAR).
- Azure Event Hubs, en moderne big data-streamingplatform og hændelsesindtagelsestjeneste, der problemfrit kan integreres med andre Azure- og Microsoft-tjenester, f.eks. Stream Analytics, Power BI og Event Grid, sammen med eksterne tjenester som Apache Spark.
- Azure Storage, Microsofts cloudlagerløsning til moderne datalagringsscenarier med højt tilgængelig, massivt skalerbart, holdbart og sikkert lager til en række dataobjekter i cloudmiljøet.
Med streaming-API'en kan du bruge avanceret registrering af jagt og angreb med Defender for Business og Microsoft 365 Business Premium. Streaming-API'en gør det muligt for soc'er at få vist flere data om enheder, forstå bedre, hvordan et angreb opstod, og tage skridt til at forbedre enhedens sikkerhed.
Brug streaming-API'en med Microsoft Sentinel
Bemærk!
Microsoft Sentinel er en betalt tjeneste. Der findes flere planer og prismuligheder. Se Microsoft Sentinel-priser.
Sørg for, at Defender for Business er konfigureret og konfigureret, og at enhederne allerede er onboardet. Se Konfigurer Microsoft Defender til virksomheder.
Create et Log Analytics-arbejdsområde, som du skal bruge sammen med Sentinel. Se Create et Log Analytics-arbejdsområde.
Onboard til Microsoft Sentinel. Se Hurtig start: Onboard Microsoft Sentinel.
Aktivér Microsoft Defender XDR-connectoren. Se Opret forbindelse mellem data fra Microsoft Defender XDR og Microsoft Sentinel.
Brug streaming-API'en med Event Hubs
Bemærk!
Azure Event Hubs kræver et Azure-abonnement. Før du begynder, skal du sørge for at oprette en hændelseshub i din lejer. Log derefter på Azure Portal, gå til AbonnementerDine abonnementer>>Ressourceudbydere>Tilmeld dig Microsoft.insights.
Gå til Microsoft Defender-portalen, og log på som global administrator eller sikkerhedsadministrator.
Vælg Tilføj indstillinger for dataeksport.
Vælg et navn til de nye indstillinger.
Vælg Videresend hændelser til Azure Event Hubs.
Skriv navnet på din Event Hubs og dit Event Hubs ID.
Bemærk!
Hvis du lader feltet Event Hubs-navnefeltet være tomt, oprettes der en hændelseshub for hver kategori i det valgte navneområde. Hvis du ikke bruger en Dedicated Event Hubs Cluster, skal du huske på, at der er en grænse på 10 Event Hubs-navneområder.
Hvis du vil hente dit Event Hubs-id, skal du gå til siden med Azure Event Hubs-navneområdet i Azure Portal. Kopiér teksten under ID under fanen Egenskaber.
Vælg de hændelser, du vil streame, og vælg derefter Gem.
Skemaet over hændelser i Azure Event Hubs
Sådan ser skemaet over hændelser i Azure Event Hubs ud:
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Hver hændelseshubmeddelelse i Azure Event Hubs indeholder en liste over poster. Hver post indeholder hændelsesnavnet, det tidspunkt, hvor Defender for Business modtog hændelsen, den lejer, den tilhører (du henter kun hændelser fra din lejer) og hændelsen i JSON-format i en egenskab med navnet "egenskaber". Du kan finde flere oplysninger om skemaet under Proaktiv jagt efter trusler med avanceret jagt i Microsoft Defender XDR.
Brug streaming-API'en med Azure Storage
Azure Storage kræver et Azure-abonnement. Før du begynder, skal du sørge for at oprette en lagerkonto i din lejer. Log derefter på din Azure-lejer, og gå til Abonnementer>Dit abonnement>Ressourceudbydere>Tilmeld dig Microsoft.insights.
Aktivér rå datastreaming
Gå til Microsoft Defender-portalen, og log på som global administrator eller sikkerhedsadministrator.
Gå til siden Indstillinger for dataeksport i Microsoft Defender XDR.
Vælg Tilføj indstillinger for dataeksport.
Vælg et navn til de nye indstillinger.
Vælg Videresend hændelser til Azure Storage.
Skriv ressource-id'et for din lagerkonto. Hvis du vil hente ressource-id'et for din lagerkonto, skal du gå til siden Lagerkonto i Azure Portal. Kopiér derefter teksten under Ressource-id for lagerkonto under fanen Egenskaber.
Vælg de hændelser, du vil streame, og vælg derefter Gem.
Skemaet over hændelser på Azure Storage-kontoen
Der oprettes en blobobjektbeholder for hver hændelsestype. Skemaet for hver række i en blob er følgende JSON-fil:
{
"time": "<The time WDATP received the event>"
"tenantId": "<Your tenant ID>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
Hver blob indeholder flere rækker. Hver række indeholder hændelsesnavnet, det tidspunkt, hvor Defender for Business modtog hændelsen, den lejer, den tilhører (du henter kun hændelser fra din lejer) og hændelsen i JSON-formategenskaber. Du kan finde flere oplysninger om skemaet for Microsoft Defender for Endpoint begivenheder under Proaktiv jagt efter trusler med avanceret jagt i Microsoft Defender XDR.
Se også
- Rå datastreaming-API i Defender for Endpoint