Del via


Konfigurer dine Event Hubs

Gælder for:

Bemærk!

Prøv vores nye API'er ved hjælp af MS Graph-sikkerheds-API'en. Få mere at vide på: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn.

Få mere at vide om, hvordan du konfigurerer dine Event Hubs, så den kan indtage hændelser fra Microsoft Defender XDR.

Konfigurer den påkrævede ressourceudbyder i Event Hubs-abonnementet

  1. Log på portalenAzure.
  2. Vælg Abonnementer>{ Vælg det abonnement, som hændelseshubben udrulles til }>Ressourceudbydere.
  3. Kontrollér, om Microsoft.Insights-udbyderen er registreret. Ellers skal du registrere den.

Listen over tjenesteudbydere på Microsoft Azure-portalen

Konfigurer Microsoft Entra App Registration

Bemærk!

Du skal have administratorrollen, eller Microsoft Entra-id'et skal være indstillet til at tillade, at ikke-administratorer registrerer apps. Du skal også have rollen Ejer eller Administrator af brugeradgang for at tildele tjenesteprincipalen en rolle. Du kan få flere oplysninger under Opret en Microsoft Entra-app & tjenesteprincipal på portalen – Microsoft-identitetsplatform | Microsoft Docs.

  1. Opret en ny registrering (som i sagens natur opretter en tjenesteprincipal) i Microsoft EntraID-appregistreringer>>Ny registrering.

  2. Udfyld formularen med navnet (der kræves ingen omdirigerings-URI).

    Den viste sektion for programnavn på Microsoft Azure-portalen

    Afsnittet Oversigtsoplysninger på Microsoft Azure-portalen

  3. Opret en hemmelighed ved at klikke på Certifikater & hemmeligheder>Ny klienthemmelighed:

    Sektionen Klienthemmelighed på Microsoft Azure-portalen

Denne værdi for klienthemmelighed bruges af Microsoft Graph-API'er til at godkende det program, der registreres.

Advarsel

Du kan ikke få adgang til klienthemmeligheden igen, så sørg for at gemme den.

Konfigurer Event Hubs-navneområdet

  1. Opret et Event Hubs-navneområde:

    til Event Hub > Tilføj , og vælg prisniveauet, gennemløbsenhederne og Automatisk oppumpning (kræver standardpriser og under funktioner), der passer til den belastning, du forventer. Du kan finde flere oplysninger under Prisfastsættelse – Event Hubs | Microsoft Azure.

    Bemærk!

    Du kan bruge en eksisterende hændelseshub, men dataoverførselshastigheden og skaleringen er angivet på navneområdeniveau, så det anbefales at placere en hændelseshub i sit eget navneområde.

    Afsnittet om hændelseshubber på Microsoft Azure-portalen

  2. Du skal også bruge ressource-id'et for dette Event Hubs-navneområde. Gå til siden > Egenskaber for azure Event Hubs-navneområde. Kopiér teksten under Ressource-id, og registrer den til brug i afsnittet Konfiguration af Microsoft 365 nedenfor.

    Afsnittet med egenskaber for hændelseshubber på Microsoft Azure-portalen

Tilføj tilladelser

Du skal føje tilladelser til følgende roller til objekter, der er involveret i Event Hubs-dataadministration:

  • Bidragyder: De tilladelser, der er relateret til denne rolle, føjes til den enhed, der logger på Microsoft Defender-portalen.
  • Læser - og Azure Event Hub-datamodtager: De tilladelser, der er relateret til disse roller, tildeles til enheden, der allerede er tildelt rollen som tjenesteprincipal , og logger på Microsoft Entra-programmet.

Udfør følgende trin for at sikre, at disse roller er blevet tilføjet:

Gå til IAM (Event Hub Namespace>Access Control)>Tilføj og bekræft under Rolletildelinger.

Et afsnit med tjenesteprincipalen til programregistrering på Microsoft Azure-portalen

Konfigurer Event Hubs

Mulighed 1:

Du kan oprette en Event Hubs i dit navneområde, og alle de hændelsestyper (tabeller), du vælger at eksportere, skrives til denne hændelseshub .

Mulighed 2:

I stedet for at eksportere alle hændelsestyper (tabeller) til én Event Hub kan du eksportere hver tabel til forskellige Event Hubs i dit Event Hubs Namespace (én Event Hub pr. Hændelsestype).

I denne indstilling opretter Microsoft Defender XDR Event Hubs for dig.

Bemærk!

Hvis du bruger et Event Hub Namespace, der ikke er en del af en Event Hub Cluster, kan du kun vælge op til 10 hændelsestyper (tabeller) til eksport i hver eksportindstilling, du definerer, på grund af en Azure-begrænsning på 10 Event Hub pr. Event Hub Namespace.

Det kan f.eks. være:

Afsnittet Hændelseshubber på Microsoft Azure-portalen

Hvis du vælger denne indstilling, kan du springe til afsnittet Konfigurer Microsoft Defender XDR til at sende mailtabeller .

Opret Event Hubs i dit navneområde ved at vælge Event Hub>+ Event Hub.

Partitionsantallet giver mulighed for flere dataoverførselshastigheder via parallelitet, så det anbefales at øge dette tal baseret på den belastning, du forventer. Standardværdier for opbevaring og hentning af meddelelser på 1 og Fra anbefales.

Afsnittet Oprettelse af hændelseshubber på Microsoft Azure-portalen

For disse Event Hubs (ikke navneområde) skal du konfigurere en delt adgangspolitik med Send, Lyttekrav. Klik påpolitikkerne for> delt adgang i Event Hub>+ Tilføj, og giv den derefter et politiknavn (bruges ikke et andet sted), og markér Send og lyt.

Siden Politikker for delt adgang på Microsoft Azure-portalen

Konfigurer Microsoft Defender XDR til at sende mailtabeller

Konfigurer Microsoft Defender XDR send mailtabeller til Splunk via Event Hubs

  1. Log på Microsoft Defender XDR med en konto, der opfylder alle følgende rollekrav:

    • Rolle som bidragyder på Ressourceniveau for Event Hubs Namespace eller højere for de Event Hubs, du eksporterer til. Uden denne tilladelse får du vist en eksportfejl, når du forsøger at gemme indstillingerne.

    • Sikkerhedsadministratorrolle på lejeren, der er knyttet til Microsoft Defender XDR og Azure.

      Siden Indstillinger på Microsoft Defender-portalen

  2. Klik på Rå dataeksport > +Tilføj.

    Du skal nu bruge de data, du har optaget ovenfor.

    Navn: Denne værdi er lokal og bør være, hvad der fungerer i dit miljø.

    Videresend hændelser til hændelseshub: Markér dette afkrydsningsfelt.

    Event-Hub-ressource-id: Denne værdi er det Event Hubs Namespace-ressource-id, du registrerede, da du konfigurerede Event Hubs.

    Event-Hub-navn: Hvis du har oprettet en Event Hubs i dit Event Hubs-navneområde, skal du indsætte det Event Hubs-navn, du har registreret ovenfor.

    Hvis du vælger at lade Microsoft Defender XDR oprette Hændelseshubber pr. hændelsestyper (tabeller) for dig, skal du lade feltet være tomt.

    Hændelsestyper: Vælg de avancerede jagttabeller, du vil videresende til Event Hubs og derefter videre til din brugerdefinerede app. Beskedtabeller er fra Microsoft Defender XDR, enhedstabeller er fra Microsoft Defender for Endpoint (EDR), og mailtabeller er fra Microsoft Defender til Office 365. Mailhændelser registrerer alle mailtransaktioner. URL-adressen (Safe Links), Attachment (Safe Attachments) og ZAP (Post Delivery Events) registreres også og kan føjes til mailhændelserne i feltet NetworkMessageId.

    Siden Med indstillinger for streaming-API på Microsoft Azure-portalen

  3. Sørg for at klikke på Send.

Kontrollér, at hændelserne eksporteres til Event Hubs

Du kan bekræfte, at hændelser sendes til Event Hubs ved at køre en grundlæggende avanceret jagtforespørgsel. Vælg Avanceret>jagtforespørgsel,> og angiv følgende forespørgsel:

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

Denne forespørgsel viser dig, hvor mange mails der blev modtaget i løbet af den sidste time, der blev joinforbundet på tværs af alle de andre tabeller. Du får også vist, hvis du får vist hændelser, der kan eksporteres til hændelseshubben. Hvis dette antal viser 0, kan du ikke se nogen data, der går ud til Event Hubs.

Den avancerede jagtside på Microsoft Azure-portalen

Når du har bekræftet, at der er data at eksportere, kan du få vist siden Event Hubs for at bekræfte, at meddelelser er indgående. Denne proces kan tage op til én time.

  1. I Azure skal du gå til Event Hub> Klik på navneområdet>Event Hub> Klik på Event Hub.
  2. Under Oversigt skal du rulle ned og i grafen Meddelelser kan du se Indgående meddelelser. Hvis du ikke kan se nogen resultater, er der ingen meddelelser til din brugerdefinerede app til indfødning.

 Siden Oversigt på Microsoft 365 Azure-portalen

Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.