Compartir a través de

Configuración de XDR de Microsoft Defender para transmitir eventos de búsqueda avanzada al centro de eventos de Azure

  • Artículo

Se aplica a:

Nota:

Pruebe nuestras nuevas API mediante la API de seguridad de MS Graph. Obtenga más información en: Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn.

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Requisitos previos

Antes de configurar XDR de Microsoft Defender para transmitir datos a Event Hubs, asegúrese de que se cumplen los siguientes requisitos previos:

  1. Crear una instancia de Event Hubs (para obtener información, consulte Configuración de Event Hubs).

  2. Creación de un espacio de nombres de Event Hubs (para obtener información, consulte Configuración del espacio de nombres de Event Hubs).

  3. Agregue permisos a la entidad que tiene los privilegios de un colaborador para que esta entidad pueda exportar datos a Event Hubs. Para obtener más información sobre cómo agregar permisos, vea Agregar permisos.

Nota:

La API de streaming se puede integrar mediante Event Hubs o una cuenta de Azure Storage.

Habilitación del streaming de datos sin procesar

  1. Inicie sesión en el portal de Microsoft Defender como administrador de seguridad como mínimo.

Importante

Microsoft recomienda usar roles con los permisos más mínimos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

  1. Vaya a la página Configuración de Streaming API.

  2. Haga clic en Agregar.

  3. Elija un nombre para la nueva configuración.

  4. Elija Reenviar eventos a Azure Event Hub.

  5. Puede seleccionar si desea exportar los datos de eventos a un único centro de eventos o exportar cada tabla de eventos a un centro de eventos diferente en el espacio de nombres de Event Hubs.

  6. Para exportar los datos de eventos a un único centro de eventos, escriba el nombre del centro de eventos y el identificador de recurso del centro de eventos.

    Para obtener el identificador de recurso de Event Hubs, vaya a la página del espacio de nombres de Azure Event Hubs en la pestaña >Propiedades de Azure> y copie el texto en Id. de recurso:

    Un identificador de recurso del centro de eventos

  7. Vaya a los tipos de eventos XDR de Microsoft Defender admitidos en la API de streaming de eventos para revisar el estado de soporte técnico de los tipos de eventos en la API de streaming de Microsoft 365.

  8. Elija los eventos que desea transmitir y haga clic en Guardar.

Esquema de los eventos en Azure Event Hub

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

  • Cada mensaje de Event Hubs de Azure Event Hubs contiene una lista de registros.

  • Cada registro contiene el nombre del evento, la hora en que Microsoft Defender XDR recibió el evento, el inquilino al que pertenece (solo obtendrá eventos del inquilino) y el evento en formato JSON en una propiedad denominada "properties".

  • Para obtener más información sobre el esquema de eventos XDR de Microsoft Defender, consulte Información general sobre la búsqueda avanzada.

  • En búsqueda avanzada, la tabla DeviceInfo tiene una columna denominada MachineGroup que contiene el grupo del dispositivo. Aquí todos los eventos también se decorarán con esta columna.

Asignación de tipos de datos

Para obtener los tipos de datos de las propiedades de evento, siga estos pasos:

  1. Inicie sesión en XDR de Microsoft Defender y vaya a la página Búsqueda avanzada.

  2. Ejecute la consulta siguiente para obtener la asignación de tipos de datos para cada evento:

    {EventType}
| getschema
| project ColumnName, ColumnType

  • Este es un ejemplo del evento Device Info:

    Consulta de ejemplo para la información del dispositivo

Estimación de la capacidad inicial del centro de eventos

La siguiente consulta de búsqueda avanzada puede ayudar a proporcionar una estimación aproximada del rendimiento del volumen de datos y de la capacidad inicial del centro de eventos en función de los eventos por segundo y los MB/s estimados. Se recomienda ejecutar la consulta durante el horario comercial normal para capturar el rendimiento "real".

let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60 
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec

Para comprobar los distintos límites de Event Hubs, revise la cuota y los límites de Azure Event Hubs.

Supervisión de los recursos creados

Puede supervisar los recursos creados por la API de streaming mediante Azure Monitor. Para más información, consulte Exportación de datos del área de trabajo de Log Analytics en Azure Monitor.

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Comunidad tecnológica XDR de Microsoft Defender.