Compartir a través de

Configuración de Event Hubs

  • Se aplica a: Microsoft Defender XDR

Nota:

Pruebe nuestras nuevas API mediante la API de seguridad de MS Graph. Obtenga más información en: Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn.

Obtenga información sobre cómo configurar Event Hubs para que pueda ingerir eventos de Microsoft Defender XDR.

Configuración del proveedor de recursos necesario en la suscripción de Event Hubs

  1. Inicie sesión en el portal de Azure.
  2. Seleccione Suscripciones>{ Seleccione la suscripción a la que se implementarán los centros de eventos en }>Proveedores de recursos.
  3. Compruebe si el proveedor Microsoft.Insights está registrado. De lo contrario, regístrelo.

Página de la lista de proveedores de servicios en microsoft Azure Portal

Configurar Microsoft Entra registro de aplicaciones

Nota:

Debe tener el rol Administrador o Microsoft Entra ID debe establecerse para permitir que los usuarios que no son administradores registren aplicaciones. También debe tener un rol propietario o administrador de acceso de usuario para asignar un rol a la entidad de servicio. Para obtener más información, consulte Creación de una aplicación de Microsoft Entra & entidad de servicio en el portal: Plataforma de identidad de Microsoft | Microsoft Docs.

  1. Cree un nuevo registro (que crea intrínsecamente una entidad de servicio) en Microsoft Entra ID>Registros de aplicaciones>Nuevo registro.

  2. Rellene el formulario con solo el nombre (no se requiere ningún URI de redirección).

    La sección para mostrar del nombre de la aplicación en microsoft Azure Portal

    La sección Información general de Microsoft Azure Portal

  3. Cree un secreto haciendo clic en Certificados & secretos>Nuevo secreto de cliente:

    La sección Secreto de cliente de Microsoft Azure Portal

Las API de Microsoft Graph usan este valor de secreto de cliente para autenticar esta aplicación que se está registrando.

Advertencia

No podrá acceder al secreto de cliente de nuevo, así que asegúrese de guardarlo.

Configuración del espacio de nombres de Event Hubs

  1. Cree un espacio de nombres de Event Hubs:

    Vaya a Agregar centro > de eventos y seleccione el plan de tarifa, las unidades de rendimiento y el inflado automático (requiere precios estándar y en características) adecuados para la carga que espera. Para obtener más información, vea Precios : Event Hubs | Microsoft Azure.

    Nota:

    Puede usar un centro de eventos existente, pero el rendimiento y el escalado se establecen en el nivel de espacio de nombres. Microsoft recomienda colocar un centro de eventos en su propio espacio de nombres.

    La sección event hubs de Microsoft Azure Portal

  2. Necesita el identificador de recurso de este espacio de nombres de Event Hubs. Vaya a la página > del espacio de nombres Azure Event Hubs Propiedades. Copie el texto en Id. de recurso y anote el texto para usarlo durante la configuración de Microsoft 365.

    La sección de propiedades de Event Hubs de Microsoft Azure Portal

Agregar permisos

Debe agregar permisos a los siguientes roles a las entidades que participan en la administración de datos de Event Hubs:

  • Colaborador: los permisos relacionados con este rol se agregan a la entidad que inicia sesión en el portal de Microsoft Defender.
  • Lector y receptor de datos de Azure Event Hub: los permisos relacionados con estos roles se asignan a la entidad a la que ya se ha asignado el rol de entidad de servicio e inicia sesión en la aplicación Microsoft Entra.

Para asegurarse de que se agregan estos roles, realice el paso siguiente:

Vaya a Espacio de nombres> del centro de eventos Access Control (IAM)>Agregar y comprobar en Asignaciones de roles.

Una sección de entidad de servicio de registro de aplicaciones en Microsoft Azure Portal

Configuración de Event Hubs

Opción 1:

Puede crear Event Hubs en el espacio de nombres y todos los tipos de eventos (tablas) que seleccione exportar se escriben en este centro de eventos.

Opción 2:

En lugar de exportar todos los tipos de eventos (tablas) a un centro de eventos, puede exportar cada tabla a diferentes centros de eventos dentro del espacio de nombres de Event Hubs (un centro de eventos por tipo de evento).

En esta opción, Microsoft Defender XDR crea Event Hubs automáticamente.

Nota:

Si usa un espacio de nombres de Centro de eventos que no forma parte de un clúster de Event Hub, solo podrá elegir hasta 10 tipos de eventos (tablas) para exportar en cada configuración de exportación que defina, debido a una limitación de Azure de 10 tipos de eventos por espacio de nombres del centro de eventos.

Por ejemplo:

Una sección de Event Hubs en microsoft Azure Portal

Si elige esta opción, puede ir a la sección Configurar Microsoft Defender XDR para enviar tablas de correo electrónico.

Cree Event Hubs en el espacio de nombres seleccionando Centro de eventos>+ Centro de eventos.

El recuento de particiones permite un mayor rendimiento a través del paralelismo, por lo que se recomienda aumentar este número en función de la carga que espera. Se recomiendan los valores predeterminados de retención de mensajes y captura de 1 y Desactivado.

Una sección de creación de Event Hubs en Microsoft Azure Portal

Para estos Event Hubs (no espacio de nombres), debe configurar una directiva de acceso compartido con notificaciones de envío y escucha. Haga clic en lasdirectivas> de acceso compartido del centro> de eventos+ Agregar y, a continuación, asígnele un nombre de directiva (no usado en otro lugar) y active Enviar y escuchar.

La página Directivas de acceso compartido de Microsoft Azure Portal

Configuración de Microsoft Defender XDR para enviar tablas de correo electrónico

Configurar Microsoft Defender XDR enviar tablas de Email a Splunk a través de Event Hubs

  1. Inicie sesión en Microsoft Defender XDR con una cuenta que cumpla todos los siguientes requisitos de rol:

    • Rol colaborador en el nivel de recurso de espacio de nombres de Event Hubs o superior para event hubs al que va a exportar. Se produce un error de exportación al intentar guardar la configuración sin este permiso.

    • Rol de Administración de seguridad en el inquilino vinculado a Microsoft Defender XDR y Azure.

      Página Configuración del portal de Microsoft Defender

  2. Haga clic en Exportación de > datos sin procesar +Agregar.

    Use los datos que registró anteriormente.

    Nombre: este valor es local y debe ser lo que funcione en su entorno.

    Reenviar eventos al centro de eventos: active esta casilla.

    Identificador de recurso del centro de eventos: este valor es el identificador de recurso de espacio de nombres de Event Hubs que registró al configurar Event Hubs.

    Nombre del centro de eventos: si creó un centro de eventos dentro del espacio de nombres de Event Hubs, pegue el nombre de Event Hubs que registró anteriormente.

    Si decide permitir que Microsoft Defender XDR cree Event Hubs por tipo de evento (tablas), deje este campo vacío.

    Tipos de eventos: seleccione las tablas de búsqueda avanzada que desea reenviar a Event Hubs y, a continuación, a la aplicación personalizada. Las tablas de alertas proceden de Microsoft Defender XDR, las tablas de dispositivos proceden de Microsoft Defender para punto de conexión (EDR) y las tablas de Email son de Microsoft Defender para Office 365. Email Eventos registra todas las transacciones de Email. La dirección URL (vínculos seguros), los datos adjuntos (datos adjuntos seguros) y los eventos posteriores a la entrega (ZAP) también se registran y se pueden unir a los eventos de Email en el campo NetworkMessageId.

    La página Configuración de Streaming API de Microsoft Azure Portal

  3. Asegúrese de hacer clic en Enviar.

Compruebe que los eventos se exportan a Event Hubs.

Puede comprobar que los eventos se envían a Event Hubs mediante la ejecución de una consulta de búsqueda avanzada básica. Seleccione Hunting Advanced HuntingQuery (Consultade búsqueda> avanzada de búsqueda>) y escriba la consulta siguiente:

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

Esta consulta muestra cuántos correos electrónicos se recibieron en la última hora unidos en todas las demás tablas. También muestra si ve eventos que se pueden exportar a los centros de eventos. Si este recuento muestra 0, no verá ningún dato que salga a Event Hubs.

Página de búsqueda avanzada en microsoft Azure Portal

Una vez que haya comprobado que hay datos que exportar, puede ver la página de Event Hubs para comprobar que los mensajes son entrantes. Este proceso puede tardar hasta una hora.

  1. En Azure, vaya a Centro de eventos> Haga clic en elcentro de eventos> espacio de nombres> Haga clic en el centro de eventos.
  2. En Información general, desplácese hacia abajo y, en el gráfico Mensajes, debería ver Mensajes entrantes. Si no ves ningún resultado, no hay mensajes para que la aplicación personalizada la ingiera.

La página Información general de Microsoft 365 Azure Portal

Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.