Uso de la API de streaming con Microsoft Defender para Empresas

Si su organización tiene un Centro de operaciones de seguridad (SOC), la capacidad de usar la API de streaming de Microsoft Defender para punto de conexión está disponible para Defender para empresas y Microsoft 365 Empresa Premium. La API le permite transmitir datos, como archivos de dispositivo, registro, red, eventos de inicio de sesión, etc., a uno de los siguientes servicios:

• Microsoft Sentinel, una solución escalable y nativa de la nube que proporciona información de seguridad y administración de eventos (SIEM) y funcionalidades de orquestación, automatización y respuesta de seguridad (SOAR).
• Azure Event Hubs, una moderna plataforma de streaming de macrodatos y un servicio de ingesta de eventos que se pueden integrar sin problemas con otros servicios de Azure y Microsoft, como Stream Analytics, Power BI y Event Grid, junto con servicios externos como Apache Spark.
• Azure Storage, la solución de almacenamiento en la nube de Microsoft para escenarios de almacenamiento de datos modernos, con almacenamiento de alta disponibilidad, escalable de forma masiva, duradero y seguro para una variedad de objetos de datos en la nube.

Con la API de streaming, puede usar la búsqueda avanzada y la detección de ataques con Defender for Business y Microsoft 365 Empresa Premium. La API de streaming permite a los SOC ver más datos sobre los dispositivos, comprender mejor cómo se produjo un ataque y tomar medidas para mejorar la seguridad del dispositivo.

Uso de la API de streaming con Microsoft Sentinel

Nota:

Microsoft Sentinel es un servicio de pago. Hay varios planes y opciones de precios disponibles. Consulte Precios de Microsoft Sentinel.

1. Asegúrese de que Defender for Business está configurado y configurado, y de que los dispositivos ya están incorporados. Consulte Configuración y configuración de Microsoft Defender para Empresas.

2. Create un área de trabajo de Log Analytics que usará con Sentinel. Consulte Create un área de trabajo de Log Analytics.

3. Incorporación a Microsoft Sentinel. Consulte Inicio rápido: Incorporación de Microsoft Sentinel.

4. Habilite el conector de Microsoft Defender XDR. Consulte Conexión de datos de Microsoft Defender XDR a Microsoft Sentinel.

Uso de la API de streaming con Event Hubs

Nota:

Azure Event Hubs requiere una suscripción de Azure. Antes de empezar, asegúrese de crear un centro de eventos en el inquilino. A continuación, inicie sesión en el Azure Portal, vaya a Suscripciones>. Losproveedores de recursos> de suscripción >se registran en Microsoft.insights.

1. Vaya al portal de Microsoft Defender e inicie sesión como administrador global o administrador de seguridad.

2. Vaya a la página Configuración de exportación de datos.

3. Seleccione Agregar configuración de exportación de datos.

4. Elija un nombre para la nueva configuración.

5. Elija Reenviar eventos para Azure Event Hubs.

6. Escriba el nombre de Event Hubs y el identificador de Event Hubs.

   Nota:

   Si deja vacío el campo Nombre de Event Hubs, se crea un centro de eventos para cada categoría del espacio de nombres seleccionado. Si no usa un clúster de Event Hubs dedicado, tenga en cuenta que hay un límite de 10 espacios de nombres de Event Hubs.

   Para obtener el identificador de Event Hubs, vaya a la página del espacio de nombres de Azure Event Hubs en el Azure Portal. En la pestaña Propiedades , copie el texto en Id.

7. Elija los eventos que desea transmitir y, a continuación, seleccione Guardar.

Esquema de eventos de Azure Event Hubs

Este es el aspecto del esquema de eventos de Azure Event Hubs:

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

Cada mensaje del centro de eventos de Azure Event Hubs contiene una lista de registros. Cada registro contiene el nombre del evento, la hora en que Defender for Business recibió el evento, el inquilino al que pertenece (solo se obtienen eventos del inquilino) y el evento en formato JSON en una propiedad denominada "properties". Para obtener más información sobre el esquema, vea Búsqueda proactiva de amenazas con búsqueda avanzada en Microsoft Defender XDR.

Uso de la API de streaming con Azure Storage

Azure Storage requiere una suscripción de Azure. Antes de empezar, asegúrese de crear una cuenta de almacenamiento en el inquilino. A continuación, inicie sesión en el inquilino de Azure y vaya a Suscripciones>. Losproveedores de recursos> de suscripción >se registran en Microsoft.insights.

Habilitación del streaming de datos sin procesar

1. Vaya al portal de Microsoft Defender e inicie sesión como administrador global o administrador de seguridad.

2. Vaya a la página Configuración de exportación de datos en Microsoft Defender XDR.

3. Seleccione Agregar configuración de exportación de datos.

4. Elija un nombre para la nueva configuración.

5. Elija Reenviar eventos a Azure Storage.

6. Escriba el identificador de recurso de la cuenta de almacenamiento. Para obtener el identificador de recurso de la cuenta de almacenamiento, vaya a la página Cuenta de almacenamiento de la Azure Portal. A continuación, en la pestaña Propiedades , copie el texto en Id. de recurso de la cuenta de almacenamiento.

7. Elija los eventos que desea transmitir y, a continuación, seleccione Guardar.

Esquema de eventos en la cuenta de Azure Storage

Se crea un contenedor de blobs para cada tipo de evento. El esquema de cada fila de un blob es el siguiente archivo JSON:

{
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

Cada blob contiene varias filas. Cada fila contiene el nombre del evento, la hora en que Defender for Business recibió el evento, el inquilino al que pertenece (solo se obtienen eventos del inquilino) y el evento en propiedades de formato JSON. Para obtener más información sobre el esquema de eventos de Microsoft Defender para punto de conexión, vea Búsqueda proactiva de amenazas con la búsqueda avanzada en Microsoft Defender XDR.

Consulte también

• API de streaming de datos sin procesar en Defender para punto de conexión