Suoratoiston ohjelmointirajapinnan käyttäminen Microsoft Defender for Business kanssa
Jos organisaatiossasi on Suojaustoimintokeskus (SOC), Defender for Business ja Microsoft 365 Business Premium voivat käyttää Microsoft Defender for Endpoint suoratoiston ohjelmointirajapintaa. Ohjelmointirajapinnan avulla voit suoratoistaa tietoja, kuten laitetiedostoa, rekisteriä, verkkoa, kirjautumistapahtumia ja paljon muuta seuraavista palveluista:
- Microsoft Sentinel, skaalattava, pilvipohjainen ratkaisu, joka tarjoaa suojaustiedot ja tapahtumien hallinnan (SIEM) sekä suojauksen orkestrointi-, automaatio- ja vastausominaisuudet (SOAR).
- Azure-tapahtumatoiminnot, nykyaikainen massadatan suoratoistoympäristö ja tapahtumien käsittelypalvelu, joka voidaan integroida saumattomasti muihin Azure- ja Microsoft-palveluihin, kuten Stream Analyticsiin, Power BI:hin ja Event Gridiin, sekä ulkopuolisiin palveluihin, kuten Apache Sparkiin.
- Azure-tallennustila, Microsoftin pilvitallennusratkaisu moderneihin tallennustilan tilanteisiin, jossa on erittäin saatavilla, erittäin skaalattava, kestävä ja turvallinen tallennustila erilaisille pilvipalvelussa oleviin tieto-objekteihin.
Suoratoiston ohjelmointirajapinnan avulla voit käyttää kehittynyttä metsästystä ja hyökkäyksen havaitsemista Defender for Businessin ja Microsoft 365 Business Premium kanssa. Suoratoiston ohjelmointirajapinnan avulla SOC-tietokoneet voivat tarkastella enemmän tietoja laitteista, ymmärtää paremmin hyökkäyksen ilmenemistä ja ryhtyä toimiin parantaakseen laitteen suojausta.
Suoratoiston ohjelmointirajapinnan käyttäminen Microsoft Sentinelin avulla
Huomautus
Microsoft Sentinel on maksullinen palvelu. Saatavilla on useita palvelupaketteja ja hinnoitteluvaihtoehtoja. Katso Microsoft Sentinelin hinnoittelu.
Varmista, että Defender for Business on määritetty ja että laitteet on jo otettu käyttöön. Katso Microsoft Defender for Business määrittäminen.
Create Log Analytics -työtilan, jota käytät Sentinelin kanssa. Katso Log Analytics -työtilan Create.
Microsoft Sentineliin. Katso Pikaopas: Microsoft Sentinel.
Ota käyttöön Microsoft Defender XDR liitin. Katso Tietojen yhdistäminen Microsoft Defender XDR Microsoft Sentineliin.
Suoratoiston ohjelmointirajapinnan käyttäminen tapahtumatoimintojen kanssa
Huomautus
Azure-tapahtumatoiminnot edellyttävät Azure-tilausta. Varmista ennen aloittamista, että luot tapahtumakeskuksen vuokraajaasi. Kirjaudu sitten Azure-portaali, siirry kohtaan Tilaukset>Tilaus>resurssipalveluntarjoajien>rekisteröinti Microsoft.insightsiin.
Siirry Microsoft Defender portaaliin ja kirjaudu sisään yleisenä järjestelmänvalvojana tai suojauksen järjestelmänvalvojana.
Valitse Lisää tietojen vientiasetukset.
Valitse uusille asetuksille nimi.
Valitse Välitä tapahtumat Azure-tapahtumatoimintoihin.
Kirjoita tapahtumatoimintosi nimi ja tapahtumatoiminnon tunnus.
Huomautus
Jos Tapahtumatoimintojen nimi -kenttä jätetään tyhjäksi, tapahtumatoiminto luodaan kullekin valitun nimitilan luokalle. Jos et käytä varattua tapahtumatoimintoklusteria, muista, että tapahtumatoimintojen nimitilojen enimmäismäärä on 10.
Jos haluat saada tapahtumatoimintosi tunnuksen, siirry azure-tapahtumatoimintojen nimitilasivulle Azure-portaali. Kopioi Ominaisuudet-välilehdessätunnus-kohdan alla oleva teksti.
Valitse tapahtumat, jotka haluat suoratoistaa, ja valitse sitten Tallenna.
Azure-tapahtumatoimintojen tapahtumien rakenne
Azure-tapahtumatoimintojen tapahtumien rakenne näyttää tältä:
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Jokainen Azure-tapahtumatoimintojen tapahtumakeskuksen viesti sisältää tietueluettelon. Jokainen tietue sisältää tapahtuman nimen, ajan, jolloin Defender for Business vastaanotti tapahtuman, vuokraajan, johon se kuuluu (saat tapahtumia vain vuokraajaltasi) ja tapahtuman JSON-muodossa ominaisuudessa nimeltä "ominaisuudet". Lisätietoja rakenteesta on kohdassa Uhkien ennakoiva metsästys kehittyneellä metsästyksellä Microsoft Defender XDR.
Suoratoiston ohjelmointirajapinnan käyttö Azure-tallennuksen kanssa
Azure-tallennus edellyttää Azure-tilausta. Ennen kuin aloitat, varmista, että luot tallennustilin vuokraajassasi. Kirjaudu sitten Sisään Azure-vuokraajaan ja siirry kohtaan Tilaukset>Tilaus>resurssipalveluntarjoajien>rekisteröinti Microsoft.insightsiin.
Ota raakatietojen virtauttaminen käyttöön
Siirry Microsoft Defender portaaliin ja kirjaudu sisään yleisenä järjestelmänvalvojana tai suojauksen järjestelmänvalvojana.
Siirry Microsoft Defender XDR tietojen viennin asetusten sivulle.
Valitse Lisää tietojen vientiasetukset.
Valitse uusille asetuksille nimi.
Valitse Välitä tapahtumat Azure-tallennukseen.
Kirjoita tallennustilisi resurssitunnus. Jos haluat saada tallennustilin resurssitunnuksen, siirry Azure-portaali Tallennustili-sivulle. Kopioi sitten Ominaisuudet-välilehdessä teksti kohdasta Tallennustilin resurssitunnus.
Valitse tapahtumat, jotka haluat suoratoistaa, ja valitse sitten Tallenna.
Azure-tallennustilin tapahtumien rakenne
Kullekin tapahtumatyypille luodaan blob-säilö. Blob-objektin kunkin rivin rakenne on seuraava JSON-tiedosto:
{
"time": "<The time WDATP received the event>"
"tenantId": "<Your tenant ID>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
Jokainen blob-objekti sisältää useita rivejä. Jokainen rivi sisältää tapahtuman nimen, ajan, jolloin Defender for Business vastaanotti tapahtuman, vuokraajan, johon se kuuluu (saat tapahtumia vain vuokraajaltasi) ja tapahtuman JSON-muoto-ominaisuuksissa. Lisätietoja Microsoft Defender for Endpoint tapahtumien rakenteesta on kohdassa Uhkien ennakoiva metsästys kehittyneellä metsästyksellä Microsoft Defender XDR.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Raakatietojen suoratoiston ohjelmointirajapinta Defender for Endpointissa