Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Testen Sie unsere neuen APIs mithilfe der MS Graph-Sicherheits-API. Weitere Informationen finden Sie unter : Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn.
Erfahren Sie, wie Sie Ihre Event Hubs so konfigurieren, dass ereignisse aus Microsoft Defender XDR erfasst werden können.
Einrichten des erforderlichen Ressourcenanbieters im Event Hubs-Abonnement
- Melden Sie sich beim Azure-Portal an.
- Wählen Sie Abonnements>{ Wählen Sie das Abonnement aus, das die Event Hubs für }>Ressourcenanbieter bereitgestellt werden sollen.
- Überprüfen Sie, ob der Microsoft.Insights-Anbieter registriert ist. Andernfalls registrieren Sie es.
Einrichten Microsoft Entra App-Registrierung
Hinweis
Sie müssen über die Administratorrolle verfügen, oder Microsoft Entra ID muss so festgelegt sein, dass Nichtadministratoren Apps registrieren können. Sie müssen auch über die Rolle Besitzer oder Benutzerzugriffsadministrator verfügen, um dem Dienstprinzipal eine Rolle zuzuweisen. Weitere Informationen finden Sie unter Erstellen einer Microsoft Entra-App & Dienstprinzipal im Portal – Microsoft Identity Platform | Microsoft-Dokumentation.
Erstellen Sie eine neue Registrierung (die inhärent einen Dienstprinzipal erstellt) in Microsoft Entra ID>App-Registrierungen>Neue Registrierung.
Füllen Sie das Formular nur mit dem Namen aus (kein Umleitungs-URI erforderlich).
Erstellen Sie ein Geheimnis, indem Sie auf Zertifikate & Geheimnisse>Neuer geheimer Clientschlüssel klicken:
Dieser Wert des geheimen Clientschlüssels wird von Microsoft Graph-APIs verwendet, um diese Anwendung zu authentifizieren, die registriert wird.
Warnung
Sie können nicht erneut auf den geheimen Clientschlüssel zugreifen. Achten Sie daher darauf, ihn zu speichern.
Einrichten des Event Hubs-Namespace
Erstellen Sie einen Event Hubs-Namespace:
Wechseln Sie zu Event Hub > Hinzufügen , und wählen Sie den Tarif, die Durchsatzeinheiten und die automatische Vergrößerung (erfordert Standardpreise und unter Features) aus, die für die erwartete Last geeignet sind. Weitere Informationen finden Sie unter Preise – Event Hubs | Microsoft Azure.
Hinweis
Sie können einen vorhandenen Event Hub verwenden, aber der Durchsatz und die Skalierung werden auf Namespaceebene festgelegt. Microsoft empfiehlt, einen Event-Hub in einem eigenen Namespace zu platzieren.
Sie benötigen die Ressourcen-ID dieses Event Hubs-Namespace. Wechseln Sie zur Seite > Eigenschaften Ihres Azure Event Hubs Namespaces. Kopieren Sie den Text unter Ressourcen-ID, und notieren Sie ihn zur Verwendung während der Microsoft 365-Konfiguration.
Berechtigungen hinzufügen
Sie müssen den folgenden Rollen Berechtigungen für Entitäten hinzufügen, die an der Event Hubs-Datenverwaltung beteiligt sind:
- Mitwirkender: Die Berechtigungen für diese Rolle werden der Entität hinzugefügt, die sich beim Microsoft Defender-Portal anmeldet.
- Leser und Azure Event Hub-Datenempfänger: Die Berechtigungen für diese Rollen werden der Entität zugewiesen, der bereits die Rolle eines Dienstprinzipals zugewiesen ist und sich bei der Microsoft Entra-Anwendung anmeldet.
Führen Sie den folgenden Schritt aus, um sicherzustellen, dass diese Rollen hinzugefügt werden:
Wechseln Sie zu Event Hub-Namespace>Access Control (IAM)>Hinzufügen und überprüfen Sie sie unter Rollenzuweisungen.
Einrichten von Event Hubs
Option 1:
Sie können Event Hubs in Ihrem Namespace erstellen, und alle Ereignistypen (Tabellen), die Sie exportieren möchten, werden in diesen einen Event Hub geschrieben.
Option 2:
Anstatt alle Ereignistypen (Tabellen) in einen Event Hub zu exportieren, können Sie jede Tabelle in verschiedene Event Hubs in Ihrem Event Hubs-Namespace (einen Event Hub pro Ereignistyp) exportieren.
Bei dieser Option erstellt Microsoft Defender XDR Event Hubs für Sie.
Hinweis
Wenn Sie einen Event Hub-Namespace verwenden, der nicht Teil eines Event Hub-Clusters ist, können Sie aufgrund einer Azure-Einschränkung von 10 Event Hubs pro Event Hub-Namespace nur bis zu 10 Ereignistypen (Tabellen) auswählen, die in jeder von Ihnen definierten Exporteinstellungen exportiert werden sollen.
Zum Beispiel:
Wenn Sie diese Option auswählen, können Sie mit dem Abschnitt Konfigurieren von Microsoft Defender XDR zum Senden von E-Mail-Tabellen fortfahren.
Erstellen Sie Event Hubs in Ihrem Namespace, indem Sie Event Hub>+ Event Hub auswählen.
Die Partitionsanzahl ermöglicht einen höheren Durchsatz durch Parallelität. Daher wird empfohlen, diese Anzahl basierend auf der erwarteten Last zu erhöhen. Die Standardwerte für Nachrichtenaufbewahrung und -erfassung von 1 und Aus werden empfohlen.
Für diese Event Hubs (kein Namespace) müssen Sie eine SAS-Richtlinie mit Ansprüchen zum Senden, Lauschen konfigurieren. Klicken Sie auf Ihre EventHub-Sas-Zugriffsrichtlinien>>+ Hinzufügen, geben Sie ihm dann einen Richtliniennamen (der an anderer Stelle nicht verwendet wird), und aktivieren Sie Senden und Lauschen.
Konfigurieren Microsoft Defender XDR zum Senden von E-Mail-Tabellen
Einrichten Microsoft Defender XDR Senden Email Tabellen an Splunk über Event Hubs
Melden Sie sich bei Microsoft Defender XDR mit einem Konto an, das alle folgenden Rollenanforderungen erfüllt:
Rolle "Mitwirkender" auf Event Hubs-Namespaceressourcenebene oder höher für die Event Hubs, in die Sie exportieren möchten. Beim Versuch, die Einstellungen ohne diese Berechtigung zu speichern, tritt ein Exportfehler auf.
Security Admin Rolle für den Mandanten, der an Microsoft Defender XDR und Azure gebunden ist.
Klicken Sie auf Rohdaten exportieren > +Hinzufügen.
Verwenden Sie die Daten, die Sie zuvor aufgezeichnet haben.
Name: Dieser Wert ist lokal und sollte der wert sein, der in Ihrer Umgebung funktioniert.
Ereignisse an Event Hub weiterleiten: Aktivieren Sie dieses Kontrollkästchen.
Event Hub-Ressourcen-ID: Dieser Wert ist die Ressourcen-ID des Event Hubs-Namespaces, die Sie beim Einrichten der Event Hubs notiert haben.
Event Hub-Name: Wenn Sie einen Event Hubs in Ihrem Event Hubs-Namespace erstellt haben, fügen Sie den Zuvor notierten Event Hubs-Namen ein.
Wenn Sie Microsoft Defender XDR auswählen, Event Hubs pro Ereignistypen (Tabellen) für Sie zu erstellen, lassen Sie dieses Feld leer.
Ereignistypen: Wählen Sie die Tabellen für die erweiterte Suche aus, die Sie an event Hubs und dann an Ihre benutzerdefinierte App weiterleiten möchten. Warnungstabellen stammen aus Microsoft Defender XDR, Gerätetabellen von Microsoft Defender for Endpoint (EDR) und Email Tabellen aus Microsoft Defender for Office 365. Email Events zeichnet alle Email Transaktionen auf. Die URL (Safe Links), Attachment (Safe Attachments) und Post Delivery Events (ZAP) werden ebenfalls aufgezeichnet und können mit dem Email Events im Feld NetworkMessageId verknüpft werden.
Stellen Sie sicher, dass Sie auf Senden klicken.
Vergewissern Sie sich, dass die Ereignisse in event Hubs exportiert werden.
Sie können überprüfen, ob Ereignisse an event Hubs gesendet werden, indem Sie eine einfache Erweiterte Hunting-Abfrage ausführen. Wählen Sie Hunting>Advanced Hunting>Query aus, und geben Sie die folgende Abfrage ein:
EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count
Diese Abfrage zeigt, wie viele E-Mails in der letzten Stunde empfangen wurden, die in allen anderen Tabellen verknüpft sind. Außerdem wird angezeigt, ob Ereignisse angezeigt werden, die in die Event Hubs exportiert werden können. Wenn diese Anzahl 0 anzeigt, werden keine Daten angezeigt, die an die Event Hubs gesendet werden.
Nachdem Sie überprüft haben, dass daten exportiert werden müssen, können Sie die Event Hubs-Seite anzeigen, um zu überprüfen, ob Nachrichten eingehen. Dieser Vorgang kann bis zu einer Stunde dauern.
- Navigieren Sie in Azure zu Event Hub> Klicken Sie auf den Namespace>Event Hub> Klicken Sie auf den Event Hub.
- Scrollen Sie unter Übersicht nach unten, und im Diagramm Nachrichten sollten eingehende Nachrichten angezeigt werden. Wenn keine Ergebnisse angezeigt werden, werden keine Nachrichten für Ihre benutzerdefinierte App erfasst.
Verwandte Themen
Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.