Configuración de Event Hubs
Se aplica a:
Nota
Pruebe nuestras nuevas API mediante la API de seguridad de MS Graph. Obtenga más información en: Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn.
Obtenga información sobre cómo configurar Event Hubs para que pueda ingerir eventos desde XDR de Microsoft Defender.
- Inicie sesión en el portal de Azure.
- Seleccione Suscripciones>{ Seleccione la suscripción a la que se implementarán los centros de eventos en }>Proveedores de recursos.
- Compruebe si el proveedor Microsoft.Insights está registrado. De lo contrario, regístrelo.
Nota
Debe tener el rol de administrador o el identificador de Microsoft Entra para permitir que los usuarios que no sean administradores registren aplicaciones. También debe tener un rol propietario o administrador de acceso de usuario para asignar un rol a la entidad de servicio. Para obtener más información, consulte Creación de una aplicación de Microsoft Entra & entidad de servicio en el portal: Plataforma de identidad de Microsoft | Microsoft Docs.
Cree un nuevo registro (que crea inherentemente una entidad de servicio) enRegistros> de aplicaciones de id>. de Microsoft EntraNuevo registro.
Rellene el formulario con solo el nombre (no se requiere ningún URI de redirección).
Cree un secreto haciendo clic en Certificados & secretos>Nuevo secreto de cliente:
Las API de Microsoft Graph usan este valor de secreto de cliente para autenticar esta aplicación que se está registrando.
Advertencia
No podrá acceder al secreto de cliente de nuevo, así que asegúrese de guardarlo.
Cree un espacio de nombres de Event Hubs:
Vaya a Agregar centro > de eventos y seleccione el plan de tarifa, las unidades de rendimiento y el inflado automático (requiere precios estándar y en características) adecuados para la carga que espera. Para obtener más información, vea Precios : Event Hubs | Microsoft Azure.
Nota
Puede usar un centro de eventos existente, pero el rendimiento y el escalado se establecen en el nivel de espacio de nombres, por lo que se recomienda colocar un centro de eventos en su propio espacio de nombres.
También necesitará el identificador de recurso de este espacio de nombres de Event Hubs. Vaya a la página > del espacio de nombres de Azure Event Hubs Propiedades. Copie el texto en Id. de recurso y anote el texto para usarlo durante la sección Configuración de Microsoft 365 que aparece a continuación.
Debe agregar permisos a los siguientes roles a las entidades que participan en la administración de datos de Event Hubs:
- Colaborador: los permisos relacionados con este rol se agregan a la entidad que inicia sesión en el portal de Microsoft Defender.
- Lector y receptor de datos del Centro de eventos de Azure: los permisos relacionados con estos roles se asignan a la entidad a la que ya se ha asignado el rol de entidad de servicio e inicia sesión en la aplicación Microsoft Entra.
Para asegurarse de que se han agregado estos roles, realice el paso siguiente:
Vaya a Control de acceso al espacio de nombres> del centro deeventos (IAM)>Agregar y comprobar en Asignaciones de roles.
Opción 1:
Puede crear un centro de eventos dentro del espacio de nombres y todos los tipos de eventos (tablas) que seleccione exportar se escribirán en este centro de eventos.
Opción 2:
En lugar de exportar todos los tipos de eventos (tablas) a un centro de eventos, puede exportar cada tabla a diferentes centros de eventos dentro del espacio de nombres de Event Hubs (un centro de eventos por tipo de evento).
En esta opción, XDR de Microsoft Defender creará Event Hubs automáticamente.
Nota
Si usa un espacio de nombres de Centro de eventos que no forma parte de un clúster de Event Hubs, solo podrá elegir hasta 10 tipos de eventos (tablas) para exportar en cada configuración de exportación que defina, debido a una limitación de Azure de 10 tipos de eventos por espacio de nombres del centro de eventos.
Por ejemplo:
Si elige esta opción, puede ir a la sección Configurar XDR de Microsoft Defender para enviar tablas de correo electrónico .
Cree Event Hubs en el espacio de nombres seleccionando Centro de eventos>+ Centro de eventos.
El recuento de particiones permite un mayor rendimiento a través del paralelismo, por lo que se recomienda aumentar este número en función de la carga que espera. Se recomiendan los valores predeterminados de retención de mensajes y captura de 1 y Desactivado.
Para estos Event Hubs (no espacio de nombres), deberá configurar una directiva de acceso compartido con notificaciones de envío y escucha. Haga clic en lasdirectivas> de acceso compartido del centro> de eventos+ Agregar y, a continuación, asígnele un nombre de directiva (no usado en otro lugar) y active Enviar y escuchar.
Configuración del envío de tablas de correo electrónico de Microsoft Defender XDR a Splunk a través de Event Hubs
Inicie sesión en XDR de Microsoft Defender con una cuenta que cumpla todos los siguientes requisitos de rol:
Rol colaborador en el nivel de recurso de espacio de nombres de Event Hubs o superior para Event Hubs al que va a exportar. Sin este permiso, recibirá un error de exportación al intentar guardar la configuración.
Rol de administrador de seguridad en el inquilino vinculado a Microsoft Defender XDR y Azure.
Haga clic en Exportación de > datos sin procesar +Agregar.
Ahora usará los datos que registró anteriormente.
Nombre: este valor es local y debe ser lo que funcione en su entorno.
Reenviar eventos al centro de eventos: active esta casilla.
Identificador de recurso del centro de eventos: este valor es el identificador de recurso de espacio de nombres de Event Hubs que registró al configurar Event Hubs.
Nombre del centro de eventos: si creó un centro de eventos dentro del espacio de nombres de Event Hubs, pegue el nombre de Event Hubs que registró anteriormente.
Si decide permitir que XDR de Microsoft Defender cree Event Hubs por tipo de evento (tablas), deje este campo vacío.
Tipos de eventos: seleccione las tablas de búsqueda avanzada que desea reenviar a Event Hubs y, a continuación, a la aplicación personalizada. Las tablas de alertas son de Microsoft Defender XDR, Las tablas de dispositivos son de Microsoft Defender para punto de conexión (EDR) y las tablas de correo electrónico son de Microsoft Defender para Office 365. Eventos de correo electrónico registra todas las transacciones de correo electrónico. La dirección URL (vínculos seguros), los datos adjuntos (datos adjuntos seguros) y los eventos posteriores a la entrega (ZAP) también se registran y se pueden unir a los eventos de correo electrónico en el campo NetworkMessageId.
Asegúrese de hacer clic en Enviar.
Puede comprobar que los eventos se envían a Event Hubs mediante la ejecución de una consulta de búsqueda avanzada básica. Seleccione Hunting Advanced HuntingQuery (Consultade búsqueda> avanzada de búsqueda>) y escriba la consulta siguiente:
EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count
Esta consulta le mostrará cuántos correos electrónicos se recibieron en la última hora unidos en todas las demás tablas. También le mostrará si ve eventos que se pueden exportar a los centros de eventos. Si este recuento muestra 0, no verá ningún dato que salga a Event Hubs.
Una vez que haya comprobado que hay datos que exportar, puede ver la página de Event Hubs para comprobar que los mensajes son entrantes. Este proceso puede tardar hasta una hora.
- En Azure, vaya a Centro de eventos> Haga clic en elcentro de eventos> espacio de nombres> Haga clic en el centro de eventos.
- En Información general, desplácese hacia abajo y, en el gráfico Mensajes, debería ver Mensajes entrantes. Si no ves ningún resultado, no habrá mensajes para que la aplicación personalizada la ingiera.
Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn
Sugerencia
¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Comunidad tecnológica XDR de Microsoft Defender.