Verwenden der Streaming-API mit Microsoft Defender for Business

  • Artikel

Wenn Ihr organization über ein Security Operations Center (SOC) verfügt, ist die Möglichkeit zur Verwendung der Microsoft Defender for Endpoint Streaming-API für Defender for Business und Microsoft 365 Business Premium verfügbar. Mit der API können Sie Daten wie Gerätedatei, Registrierung, Netzwerk, Anmeldeereignisse usw. an einen der folgenden Dienste streamen:

  • Microsoft Sentinel, eine skalierbare, cloudnative Lösung, die SIEM-Funktionen (Security Information and Event Management) und Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) bereitstellt.
  • Azure Event Hubs, eine moderne Big Data-Streamingplattform und ein Ereigniserfassungsdienst, der nahtlos in andere Azure- und Microsoft-Dienste wie Stream Analytics, Power BI und Event Grid sowie externe Dienste wie Apache Spark integriert werden kann.
  • Azure Storage, die Cloudspeicherlösung von Microsoft für moderne Datenspeicherszenarien mit hochverfügbarem, hochgradig skalierbarem, dauerhaftem und sicherem Speicher für eine Vielzahl von Datenobjekten in der Cloud.

Mit der Streaming-API können Sie die erweiterte Suche und Angriffserkennung mit Defender for Business und Microsoft 365 Business Premium verwenden. Die Streaming-API ermöglicht es SOCs, mehr Daten zu Geräten anzuzeigen, besser zu verstehen, wie ein Angriff stattgefunden hat, und Maßnahmen zur Verbesserung der Gerätesicherheit zu ergreifen.

Verwenden der Streaming-API mit Microsoft Sentinel

Hinweis

Microsoft Sentinel ist ein kostenpflichtiger Dienst. Es stehen mehrere Pläne und Preisoptionen zur Verfügung. Weitere Informationen finden Sie unter Microsoft Sentinel – Preise.

  1. Stellen Sie sicher, dass Defender for Business eingerichtet und konfiguriert ist und dass geräte bereits integriert sind. Weitere Informationen finden Sie unter Einrichten und Konfigurieren Microsoft Defender for Business.

  2. Create einen Log Analytics-Arbeitsbereich, den Sie mit Sentinel verwenden. Weitere Informationen finden Sie unter Create eines Log Analytics-Arbeitsbereichs.

  3. Onboarding in Microsoft Sentinel. Weitere Informationen finden Sie unter Schnellstart: Onboarding von Microsoft Sentinel.

  4. Aktivieren Sie den Microsoft Defender XDR-Connector. Weitere Informationen finden Sie unter Verbinden von Daten aus Microsoft Defender XDR mit Microsoft Sentinel.

Verwenden der Streaming-API mit Event Hubs

Hinweis

Azure Event Hubs erfordert ein Azure-Abonnement. Bevor Sie beginnen, stellen Sie sicher, dass Sie einen Event Hub in Ihrem Mandanten erstellen. Melden Sie sich dann beim Azure-Portal an, und wechseln Sie zu Abonnements>Ihr Abonnement>Ressourcenanbieter>Registrieren bei Microsoft.insights.

  1. Wechseln Sie zum Microsoft Defender-Portal, und melden Sie sich als globaler Administrator oder Sicherheitsadministrator an.

  2. Wechseln Sie zur Seite Datenexporteinstellungen.

  3. Wählen Sie Datenexporteinstellungen hinzufügen aus.

  4. Wählen Sie einen Namen für Ihre neuen Einstellungen aus.

  5. Wählen Sie Ereignisse an Azure Event Hubs weiterleiten aus.

  6. Geben Sie Ihren Event Hubs-Namen und Ihre Event Hubs-ID ein.

    Hinweis

    Wenn das Feld Event Hubs-Name leer bleibt, wird ein Event Hub für jede Kategorie im ausgewählten Namespace erstellt. Wenn Sie keinen dedizierten Event Hubs-Cluster verwenden, beachten Sie, dass es ein Limit von 10 Event Hubs-Namespaces gibt.

    Um Ihre Event Hubs-ID abzurufen, wechseln Sie im Azure-Portal zu Ihrer Azure Event Hubs Namespaceseite. Kopieren Sie auf der Registerkarte Eigenschaften den Text unter ID.

  7. Wählen Sie die Ereignisse aus, die Sie streamen möchten, und wählen Sie dann Speichern aus.

Das Schema der Ereignisse in Azure Event Hubs

Das Schema der Ereignisse in Azure Event Hubs sieht wie folgt aus:

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

Jede Event Hub-Nachricht in Azure Event Hubs enthält eine Liste von Datensätzen. Jeder Datensatz enthält den Ereignisnamen, den Zeitpunkt, zu dem Defender for Business das Ereignis empfangen hat, den Mandanten, zu dem er gehört (Sie erhalten nur Ereignisse von Ihrem Mandanten) und das Ereignis im JSON-Format in einer Eigenschaft namens "properties". Weitere Informationen zum Schema finden Sie unter Proaktives Suchen nach Bedrohungen mit erweiterter Suche in Microsoft Defender XDR.

Verwenden der Streaming-API mit Azure Storage

Azure Storage erfordert ein Azure-Abonnement. Bevor Sie beginnen, stellen Sie sicher, dass Sie ein Speicherkonto in Ihrem Mandanten erstellen. Melden Sie sich dann bei Ihrem Azure-Mandanten an, und wechseln Sie zu Abonnements>Ihr Abonnement>Ressourcenanbieter>Registrieren bei Microsoft.insights.

Aktivieren des Rohdatenstreamings

  1. Wechseln Sie zum Microsoft Defender-Portal, und melden Sie sich als globaler Administrator oder Sicherheitsadministrator an.

  2. Wechseln Sie in Microsoft Defender XDR zur Seite Datenexporteinstellungen.

  3. Wählen Sie Datenexporteinstellungen hinzufügen aus.

  4. Wählen Sie einen Namen für Ihre neuen Einstellungen aus.

  5. Wählen Sie Ereignisse an Azure Storage weiterleiten aus.

  6. Geben Sie die Ressourcen-ID Ihres Speicherkontos ein. Um Die Ressourcen-ID Ihres Speicherkontos abzurufen, wechseln Sie im Azure-Portal zur Seite Ihres Speicherkontos. Kopieren Sie dann auf der Registerkarte Eigenschaften den Text unter Ressourcen-ID des Speicherkontos.

  7. Wählen Sie die Ereignisse aus, die Sie streamen möchten, und wählen Sie dann Speichern aus.

Das Schema der Ereignisse im Azure Storage-Konto

Für jeden Ereignistyp wird ein Blobcontainer erstellt. Das Schema jeder Zeile in einem Blob ist die folgende JSON-Datei:

{
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

Jedes Blob enthält mehrere Zeilen. Jede Zeile enthält den Ereignisnamen, den Zeitpunkt, zu dem Defender for Business das Ereignis empfangen hat, den Mandanten, zu dem es gehört (Sie erhalten nur Ereignisse von Ihrem Mandanten) und das Ereignis in JSON-Formateigenschaften. Weitere Informationen zum Schema von Microsoft Defender for Endpoint Ereignissen finden Sie unter Proaktives Suchen nach Bedrohungen mit erweiterter Suche in Microsoft Defender XDR.

Siehe auch