Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Huomautus
Kokeile uusia ohjelmointirajapintojamme MS Graphin suojauksen ohjelmointirajapinnan avulla. Lisätietoja on osoitteessa: Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen - Microsoft Graph | Microsoft Learn.
Lue, miten voit määrittää tapahtumatoimintosi niin, että se voi käyttää tapahtumia Microsoft Defender XDR.
Pakollisen resurssipalvelun määrittäminen Tapahtumatoiminnot-tilauksessa
- Kirjaudu Azure-portaaliin.
- Valitse Tilaukset>{ Valitse tilaus, jonka tapahtumatoiminnot otetaan käyttöön }>Resurssin palveluntarjoajille.
- Tarkista, onko Microsoft.Insights-palvelu rekisteröity. Muussa tapauksessa rekisteröi se.
Määritä Microsoft Entra sovelluksen rekisteröinti
Huomautus
Sinulla on oltava järjestelmänvalvojan rooli tai Microsoft Entra ID on määritettävä, jotta muut kuin järjestelmänvalvojat voivat rekisteröidä sovelluksia. Sinulla on myös oltava omistajan tai käyttäjän käyttöoikeuden järjestelmänvalvojan rooli, jotta voit määrittää palvelun päänimelle roolin. Lisätietoja on artikkelissa Microsoft Entra-sovelluksen luominen palvelun päänimen & portaalissa - Microsoftin käyttäjätietoympäristö | Microsoft Docs.
Luo uusi rekisteröinti (joka luo luontaisesti palvelun päänimen) Microsoft Entra ID>Sovelluksen rekisteröinnit>Uusi rekisteröinti.
Täytä lomake pelkällä nimellä (uudelleenohjauksen URI-tunnusta ei tarvita).
Luo salaisuus valitsemalla Varmenteet & salasanat>Uusi asiakassalaisuus:
Microsoft Graph -ohjelmointirajapinnat käyttävät tätä asiakkaan salasana-arvoa rekisteröitävän sovelluksen todentamiseen.
Varoitus
Asiakassalaisuutta ei voi käyttää uudelleen, joten muista tallentaa se.
Määritä tapahtumatoimintojen nimitila
Luo tapahtumatoimintojen nimitila:
Siirry tapahtumakeskuksen > lisäämiseen ja valitse hinnoittelutaso, siirtomääräyksiköt ja automaattinen täyttö (edellyttää vakiohinnoittelua ja ominaisuuksia) haluamasi kuormituksen mukaan. Lisätietoja on kohdassa Hinnoittelu - Tapahtumatoiminnot | Microsoft Azure.
Huomautus
Voit käyttää olemassa olevaa tapahtumatoimintoa, mutta siirtomäärä ja skaalaus määritetään nimitilatasolla. Microsoft suosittelee asettamaan tapahtumakeskuksen omaan nimitilaansa.
Tarvitset tämän tapahtumatoiminnon nimitilan resurssitunnuksen. Siirry tapahtumatoimintojen Azure nimitilasivun > ominaisuudet. Kopioi resurssitunnus-kohdassa oleva teksti ja tallenna se käytettäväksi Microsoft 365 -määrityksen aikana.
Lisää käyttöoikeuksia
Sinun on lisättävä seuraaviin rooleihin käyttöoikeudet entiteetteihin, jotka osallistuvat tapahtumakeskusten tietojen hallintaan:
- Osallistuja: Tähän rooliin liittyvät käyttöoikeudet lisätään entiteettiin, joka kirjautuu sisään Microsoft Defender-portaaliin.
- Lukija ja Azure Event Hub -tietojen vastaanotin: Näihin rooleihin liittyvät käyttöoikeudet määritetään entiteetille, jolle on jo määritetty palvelun päänimen rooli ja joka kirjautuu sisään Microsoft Entra sovellukseen.
Voit varmistaa, että nämä roolit lisätään, suorittamalla seuraava vaihe:
Siirry kohtaan Tapahtumakeskuksen nimitila>Käyttöoikeuksien hallinta (IAM)>Lisää ja vahvista kohdasta Roolimääritykset.
Tapahtumatoimintojen määrittäminen
Vaihtoehto 1:
Voit luoda tapahtumatoimintoja nimitilassasi, ja kaikki vietävät tapahtumatyypit (taulukot) kirjoitetaan tähän yhteen tapahtumatoimintoon.
Vaihtoehto 2:
Sen sijaan, että viet kaikki tapahtumatyypit (taulukot) yhteen tapahtumatoimintoon, voit viedä kunkin taulukon eri tapahtumatoimintoihin tapahtumatoimintojen nimitilan sisällä (yksi tapahtumatoiminto tapahtumatyyppiä kohden).
Tässä vaihtoehdossa Microsoft Defender XDR luo tapahtumatoimintoja puolestasi.
Huomautus
Jos käytät tapahtumakeskuksen nimitilaa, joka ei ole osa tapahtumakeskusklusteria, voit valita enintään 10 tapahtumatyyppiä (taulukkoa), jotka viedään kussakin määrittämässäsi vientiasetuksessa, koska Azure rajoitus on 10 tapahtumatoimintoa tapahtumakeskuksen nimitilaa kohden.
Esimerkki:
Jos valitset tämän vaihtoehdon, voit siirtyä Määritä Microsoft Defender XDR sähköpostitaulukoiden lähettämiseksi -osioon.
Luo tapahtumatoimintoja nimitilassasi valitsemalla Event Hub>+ Event Hub.
Osioiden määrä sallii enemmän siirtomäärää rinnakkaisuuden kautta, joten on suositeltavaa suurentaa tätä määrää odottamasi kuormituksen perusteella. Oletusarvoiset viestien säilytys- ja sieppausarvot 1 ja Ei käytössä ovat suositeltavat.
Näissä tapahtumatoiminnoissa (ei nimitilassa) sinun on määritettävä jaettujen käyttöoikeuksien käytäntö lähetä, kuuntele väitteitä -toiminnolla. Napsauta tapahtumakeskuksen>jaettujen käyttöoikeuksien käytäntöjä>+ Lisää , anna sille käytännön nimi (ei käytössä muualla) ja valitse Lähetä ja kuuntele.
Microsoft Defender XDR määrittäminen sähköpostitaulukoiden lähettämiseksi
Määritä Microsoft Defender XDR lähetä sähköpostitaulukot Splunkiin tapahtumatoimintojen kautta
Kirjaudu sisään Microsoft Defender XDR tilillä, joka täyttää kaikki seuraavat roolivaatimukset:
Osallistujan rooli tapahtumatoimintojen nimitilaresurssitasolla tai sitä korkeammalla tasolla tapahtumatoiminnoissa, joihin olet viemässä. Vientivirhe, kun yrität tallentaa asetukset ilman tätä käyttöoikeutta.
Suojaus Hallinta rooli vuokraajassa, joka on sidottu Microsoft Defender XDR ja Azure.
Napsauta Raakatietojen vienti > +Lisää.
Käytä aiemmin tallentamasi tietoja.
Nimi: Tämä arvo on paikallinen, ja sen pitäisi toimia ympäristössäsi.
Lähetä tapahtumat edelleen tapahtumakeskukseen: Valitse tämä valintaruutu.
Tapahtumakeskuksen resurssitunnus: Tämä arvo on tapahtumatoimintojen nimitilan resurssitunnus, jonka tallensit tapahtumatoimintoja määrittäessäsi.
Event-Hubin nimi: Jos loit tapahtumatoiminnot tapahtumatoimintojen nimitilaan, liitä aiemmin tallentamasi tapahtumatoimintojen nimi.
Jos päätät antaa Microsoft Defender XDR luoda tapahtumatoimintoja tapahtumatyyppien (taulukoiden) mukaan, jätä tämä kenttä tyhjäksi.
Tapahtumatyypit: Valitse kehittyneen metsästyksen taulukot, jotka haluat lähettää edelleen tapahtumatoimintoihin ja sitten mukautettuun sovellukseesi. Ilmoitustaulukot ovat Microsoft Defender XDR, Laitteet-taulukot ovat Microsoft Defender for Endpoint (EDR) ja Sähköposti-taulukot ovat Microsoft Defender Office 365. Sähköpostitapahtumat kirjaavat kaikki sähköpostitapahtumat. Myös URL-osoite (turvalliset linkit), liite (turvalliset liitteet) ja toimituksen jälkeiset tapahtumat (ZAP) tallennetaan, ja ne voidaan liittää Sähköpostitapahtumat NetworkMessageId-kentässä.
Muista napsauttaa Lähetä.
Varmista, että tapahtumat viedään tapahtumatoimintoihin
Voit varmistaa, että tapahtumat lähetetään tapahtumatoimintoihin suorittamalla perustasoinen kehittynyt metsästyskysely. Valitse Metsästyksen>kehittyneen metsästyksen>kysely ja kirjoita seuraava kysely:
EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count
Tämä kysely näyttää, kuinka monta sähköpostiviestiä on vastaanotettu viime tunnin aikana kaikkien muiden taulukoiden kanssa. Se näyttää myös, jos näet tapahtumia, jotka voidaan viedä tapahtumatoimintoihin. Jos tämä määrä näyttää luvun 0, et näe mitään tietoja, jotka menevät tapahtumatoimintoihin.
Kun olet varmistanut, että vietävia tietoja on, voit tarkastella Tapahtumatoiminnot-sivua varmistaaksesi, että viestejä tulee. Tämä prosessi voi kestää enintään tunnin.
- Siirry Azure tapahtumatoimintoon> Napsauta Nimitilatapahtumakeskus>> Napsauta tapahtumatoimintoa.
- Vieritä Yleiskatsaus-kohdassa alas ja näytä Saapuvat viestit Viestit-kaaviossa. Jos et näe tuloksia, mukautetulle sovelluksellesi ei ole näytettäviä viestejä.
Aiheeseen liittyvät artikkelit
Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen – Microsoft Graph | Microsoft Learn
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.