Jaa


Tapahtumatoimintojen määrittäminen

Koskee seuraavia:

Huomautus

Kokeile uusia ohjelmointirajapintojamme MS Graphin suojauksen ohjelmointirajapinnan avulla. Lisätietoja on osoitteessa: Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen - Microsoft Graph | Microsoft Learn.

Lue, miten voit määrittää tapahtumatoimintosi niin, että se voi ottaa tapahtumia käyttöön Microsoft Defender XDR:ltä.

Pakollisen resurssipalvelun määrittäminen Tapahtumatoiminnot-tilauksessa

  1. Kirjaudu Azure-portaaliin.
  2. Valitse Tilaukset>{ Valitse tilaus, jonka tapahtumatoiminnot otetaan käyttöön }>Resurssin palveluntarjoajille.
  3. Tarkista, onko Microsoft.Insights-palvelu rekisteröity. Muussa tapauksessa rekisteröi se.

Palveluntarjoajien luettelo -sivu Microsoft Azure -portaalissa

Microsoft Entra -sovelluksen rekisteröinnin määrittäminen

Huomautus

Sinulla on oltava järjestelmänvalvojan rooli tai Microsoft Entra -tunnus on määritettävä, jotta muut kuin järjestelmänvalvojat voivat rekisteröidä sovelluksia. Sinulla on myös oltava omistajan tai käyttäjän käyttöoikeuden järjestelmänvalvojan rooli, jotta voit määrittää palvelun päänimelle roolin. Lisätietoja on artikkelissa Microsoft Entra -sovelluksen luominen & palvelun päänimi portaalissa – Microsoft identity platform | Microsoft Docs.

  1. Luo uusi rekisteröinti (joka luo luontaisesti palvelun päänimen) Microsoft Entra ID>-sovelluksen rekisteröinteihin>Uusi rekisteröinti.

  2. Täytä lomake pelkällä nimellä (uudelleenohjauksen URI-tunnusta ei tarvita).

    Sovelluksen nimen näyttöosa Microsoft Azure -portaalissa

    Microsoft Azure -portaalin Yleiskatsaustiedot-osio

  3. Luo salaisuus valitsemalla Varmenteet & salasanat>Uusi asiakassalaisuus:

    Asiakassalaisuus-osio Microsoft Azure -portaalissa

Microsoft Graph -ohjelmointirajapinnat käyttävät tätä asiakkaan salasana-arvoa rekisteröitävän sovelluksen todentamiseen.

Varoitus

Asiakassalaisuutta ei voi käyttää uudelleen, joten muista tallentaa se.

Määritä tapahtumatoimintojen nimitila

  1. Luo tapahtumatoimintojen nimitila:

    Siirry tapahtumakeskuksen > lisäämiseen ja valitse hinnoittelutaso, siirtomääräyksiköt ja automaattinen täyttö (edellyttää vakiohinnoittelua ja ominaisuuksia) haluamasi kuormituksen mukaan. Lisätietoja on kohdassa Hinnoittelu - Tapahtumatoiminnot | Microsoft Azure.

    Huomautus

    Voit käyttää olemassa olevaa tapahtumakeskusta, mutta siirtomäärä ja skaalaus määritetään nimitilatasolla, joten on suositeltavaa sijoittaa tapahtumakeskus omaan nimitilaansa.

    Microsoft Azure -portaalin tapahtumatoiminnot-osa

  2. Tarvitset myös tämän tapahtumatoiminnon nimitilan resurssitunnuksen. Siirry Azure-tapahtumatoimintojen nimitilasivun > ominaisuuksiin. Kopioi resurssitunnus-kohdan teksti ja tallenna se käytettäväksi alla olevassa Microsoft 365 :n määritysosiossa.

    Microsoft Azure -portaalin tapahtumakeskuksen ominaisuudet -osa

Lisää käyttöoikeuksia

Sinun on lisättävä seuraaviin rooleihin käyttöoikeudet entiteetteihin, jotka osallistuvat tapahtumakeskusten tietojen hallintaan:

  • Osallistuja: Tähän rooliin liittyvät käyttöoikeudet lisätään entiteettiin, joka kirjautuu sisään Microsoft Defender -portaaliin.
  • Lukijan ja Azure Event Hubin tietojen vastaanotin: Näihin rooleihin liittyvät käyttöoikeudet määritetään entiteetille, jolle on jo määritetty palvelun päänimen rooli ja joka kirjautuu sisään Microsoft Entra -sovellukseen.

Voit varmistaa, että nämä roolit on lisätty, suorittamalla seuraava vaihe:

Siirry kohtaan Tapahtumakeskuksen nimitilan>käyttöoikeuksien valvonta (IAM)>Lisää ja vahvista kohdasta Roolimääritykset.

Sovelluksen rekisteröintipalvelun päänimi -osa Microsoft Azure -portaalissa

Tapahtumatoimintojen määrittäminen

Vaihtoehto 1:

Voit luoda tapahtumatoimintoja nimitilassasi, ja kaikki vietävät tapahtumatyypit (taulukot) kirjoitetaan tähän yhteen tapahtumatoimintoon.

Vaihtoehto 2:

Sen sijaan, että viet kaikki tapahtumatyypit (taulukot) yhteen tapahtumatoimintoon, voit viedä kunkin taulukon eri tapahtumatoimintoihin tapahtumatoimintojen nimitilan sisällä (yksi tapahtumatoiminto tapahtumatyyppiä kohden).

Tässä vaihtoehdossa Microsoft Defender XDR luo tapahtumatoiminnot puolestasi.

Huomautus

Jos käytät tapahtumakeskuksen nimitilaa, joka ei ole osa tapahtumakeskusklusteria, voit valita enintään 10 tapahtumatyyppiä (taulukkoa), jotka viedään kussakin määrittämässäsi vientiasetuksessa, koska Azuren rajoitus on 10 tapahtumatoimintoa tapahtumatoiminnon nimitilaa kohden.

Esimerkki:

Microsoft Azure -portaalin tapahtumakeskusosio

Jos valitset tämän vaihtoehdon, voit siirtyä Määritä Microsoft Defenderin XDR-asetus -kohtaan sähköpostitaulukoiden lähettämiseksi .

Luo tapahtumatoimintoja nimitilassasi valitsemalla Event Hub>+ Event Hub.

Osioiden määrä sallii enemmän siirtomäärää rinnakkaisuuden kautta, joten on suositeltavaa suurentaa tätä määrää odottamasi kuormituksen perusteella. Oletusarvoiset viestien säilytys- ja sieppausarvot 1 ja Ei käytössä ovat suositeltavat.

Tapahtumakeskusten luontiosa Microsoft Azure -portaalissa

Näissä tapahtumatoiminnoissa (ei nimitilassa) sinun on määritettävä jaettujen käyttöoikeuksien käytäntö lähetä, kuuntele väitteitä -toiminnolla. Napsauta tapahtumakeskuksen>jaettujen käyttöoikeuksien käytäntöjä>+ Lisää , anna sille käytännön nimi (ei käytössä muualla) ja valitse Lähetä ja kuuntele.

Microsoft Azure -portaalin Jaettujen käyttöoikeuksien käytännöt -sivu

Määritä Microsoft Defender XDR lähettämään sähköpostitaulukoita

Määritä Microsoft Defenderin XDR-lähetyssähköpostitaulukot Splunkiin tapahtumatoimintojen kautta

  1. Kirjaudu sisään Microsoft Defender XDR :ään tilillä, joka täyttää kaikki seuraavat roolivaatimukset:

    • Osallistujan rooli Tapahtumatoiminnot-nimitilan resurssitasolla tai sitä korkeammalla tasolla tapahtumatoiminnoissa, joihin olet viemässä. Ilman tätä käyttöoikeutta saat vientivirheen, kun yrität tallentaa asetukset.

    • Suojauksen järjestelmänvalvojan rooli vuokraajassa, joka on sidottu Microsoft Defender XDR:ään ja Azureen.

      Microsoft Defender -portaalin Asetukset-sivu

  2. Napsauta Raakatietojen vienti > +Lisää.

    Käytät nyt tietoja, jotka tallensit edellä.

    Nimi: Tämä arvo on paikallinen, ja sen pitäisi toimia ympäristössäsi.

    Lähetä tapahtumat edelleen tapahtumakeskukseen: Valitse tämä valintaruutu.

    Tapahtumakeskuksen resurssitunnus: Tämä arvo on tapahtumatoimintojen nimitilan resurssitunnus, jonka tallensit tapahtumatoimintoja määrittäessäsi.

    Event-Hubin nimi: Jos loit tapahtumatoiminnot tapahtumatoimintojen nimitilaan, liitä yllä tallentamasi tapahtumatoimintojen nimi.

    Jos päätät antaa Microsoft Defender XDR:n luoda tapahtumatoimintoja tapahtumatyyppejä (taulukoita) kohden puolestasi, jätä tämä kenttä tyhjäksi.

    Tapahtumatyypit: Valitse kehittyneen metsästyksen taulukot, jotka haluat lähettää edelleen tapahtumatoimintoihin ja sitten mukautettuun sovellukseesi. Ilmoitustaulukot ovat Microsoft Defender XDR:stä, Laitteet-taulukot Microsoft Defender for Endpointista (EDR) ja Sähköposti-taulukot Microsoft Defender for Office 365:stä. Sähköpostitapahtumat kirjaavat kaikki sähköpostitapahtumat. Myös URL-osoite (turvalliset linkit), liite (turvalliset liitteet) ja toimituksen jälkeiset tapahtumat (ZAP) tallennetaan, ja ne voidaan liittää Sähköpostitapahtumat NetworkMessageId-kentässä.

    Suoratoiston ohjelmointirajapinnan asetussivu Microsoft Azure -portaalissa

  3. Muista napsauttaa Lähetä.

Varmista, että tapahtumat viedään tapahtumatoimintoihin

Voit varmistaa, että tapahtumat lähetetään tapahtumatoimintoihin suorittamalla perustasoinen kehittynyt metsästyskysely. Valitse Metsästyksen>kehittyneen metsästyksen>kysely ja kirjoita seuraava kysely:

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

Tämä kysely näyttää, kuinka monta sähköpostiviestiä on vastaanotettu viime tunnin aikana kaikkiin muihin taulukoihin liittyneenä. Se näyttää myös, jos näet tapahtumia, jotka voidaan viedä tapahtumatoimintoihin. Jos tämä määrä näyttää luvun 0, et näe mitään tietoja, jotka menevät tapahtumatoimintoihin.

Edistynyt metsästyssivu Microsoft Azure -portaalissa

Kun olet varmistanut, että vietävia tietoja on, voit tarkastella Tapahtumatoiminnot-sivua varmistaaksesi, että viestejä tulee. Tämä prosessi voi kestää enintään tunnin.

  1. Siirry Azuressa tapahtumatoimintoon> Napsauta NimitilaTapahtumakeskus>> Napsauta tapahtumatoimintoa.
  2. Vieritä Yleiskatsaus-kohdassa alas ja näytä Saapuvat viestit Viestit-kaaviossa. Jos et näe tuloksia, mukautetulle sovelluksellesi ei tule näytettäviä viestejä.

 Yleiskatsaus-sivu Microsoft 365 Azure -portaalissa

Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen – Microsoft Graph | Microsoft Learn

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.