Määritä Microsoft Defender XDR virtautettavaksi kehittyneen metsästyksen tapahtumia Azure-tapahtumatoimintoon

Koskee seuraavia:

• Microsoft Defender XDR

Huomautus

Kokeile uusia ohjelmointirajapintojamme MS Graphin suojauksen ohjelmointirajapinnan avulla. Lisätietoja on osoitteessa: Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen - Microsoft Graph | Microsoft Learn.

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Ennakkovaatimukset

Ennen kuin määrität Microsoft Defender XDR tietojen suoratoistoon tapahtumatoimintoihin, varmista, että seuraavat edellytykset täyttyvät:

1. Tapahtumatoimintojen luominen (lisätietoja on kohdassa Tapahtumatoimintojen määrittäminen).

2. Tapahtumatoimintojen luominen Namespace (lisätietoja on kohdassa Tapahtumatoimintojen nimitilan määrittäminen).

3. Lisää käyttöoikeudet entiteettiin, jolla on Osallistujan oikeudet, jotta tämä entiteetti voi viedä tietoja tapahtumatoimintoihin. Lisätietoja käyttöoikeuksien lisäämisesta on kohdassa Käyttöoikeuksien lisääminen

Huomautus

Suoratoiston ohjelmointirajapinta voidaan integroida joko tapahtumatoimintojen tai Azure-tallennustilin kautta.

Ota raakatietojen virtauttaminen käyttöön

1. Kirjaudu Microsoft Defender portaaliin vähintään suojauksen järjestelmänvalvojana.

Tärkeää

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Alemman käyttöoikeuden auttaminen parantaa organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

2. Siirry Suoratoiston ohjelmointirajapinnan asetukset -sivulle.

3. Valitse Lisää.

4. Valitse uusille asetuksille nimi.

5. Valitse Välitä tapahtumat Azuren tapahtumatoimintoon.

6. Voit valita, haluatko viedä tapahtumatiedot yhteen tapahtumatoimintoon, tai viedä kunkin tapahtumataulukon eri tapahtumatoimintoihin Tapahtumatoiminnot-nimitilassa.

7. Jos haluat viedä tapahtumatiedot yhteen tapahtumatoimintoon, anna tapahtumatoiminnon nimi ja tapahtumatoiminto Namespace resurssitunnus.

   Jos haluat saada tapahtumatoiminnon Namespace resurssin tunnuksen, siirry Azure-tapahtumatoimintojen nimitilasivulle Azuren>ominaisuudet -välilehdessä > kopioi teksti kohdassa Resurssitunnus:

   

8. Siirry kohtaan Tuetut Microsoft Defender XDR tapahtumatyypit tapahtumien suoratoiston ohjelmointirajapinnassa tarkistaaksesi tapahtumatyyppien tuen tilan Microsoft 365 Streaming -ohjelmointirajapinnassa.

9. Valitse tapahtumat, jotka haluat virtauttaa, ja valitse Tallenna.

Azure-tapahtumakeskuksen tapahtumien rakenne

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

• Jokainen Azure-tapahtumatoimintojen sanoma sisältää tietueluettelon.

• Jokainen tietue sisältää tapahtuman nimen, ajan, Microsoft Defender XDR vastaanottamaan tapahtuman, vuokraajan, jolle se kuuluu (saat tapahtumia vain vuokraajaltasi) ja tapahtuman JSON-muodossa ominaisuudessa, jonka nimi on "ominaisuudet".

• Lisätietoja Microsoft Defender XDR tapahtumien rakenteesta on kohdassa Kehittyneen metsästyksen yleiskatsaus.

• Lisämetsästyksessä DeviceInfo-taulukossa on sarake nimeltä MachineGroup , joka sisältää laitteen ryhmän. Tässä jokainen tapahtuma on koristeltu myös tällä sarakkeella.

Tietotyyppien yhdistäminen

Voit hakea tapahtuman ominaisuuksien tietotyypit seuraavasti:

1. Kirjaudu sisään Microsoft Defender XDR ja siirry kehittyneen metsästyksen sivulle.

2. Suorita seuraava kysely, jotta saat kunkin tapahtuman tietotyyppien yhdistämismääritykset:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Tässä on esimerkki laitetietojen tapahtumasta:

  

Arvioidaan tapahtuman alkukapasiteetin määrää

Seuraava kehittynyt metsästyskysely voi auttaa antamaan karkean arvion tietojen määrän siirtomäärästä ja tapahtuman alkukapasiteetista tapahtumien/s ja arvioidun MB/s perusteella. Suosittelemme, että suoritat kyselyn normaalina työaikana todellisen siirtomäärän sieppaamiseksi.

let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60 
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec

Jos haluat tarkistaa eri tapahtumakeskuksen rajat, tutustu Azure-tapahtumakeskusten kiintiöön ja rajoituksiin.

Luotujen resurssien valvonta

Voit valvoa suoratoiston ohjelmointirajapinnan luomia resursseja Azure Monitorin avulla. Lisätietoja on artikkelissa Log Analytics -työtilan tietojen vienti Azure Monitorissa.

Aiheeseen liittyvät artikkelit

• Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen – Microsoft Graph | Microsoft Learn

• Kehittyneen metsästyksen yleiskatsaus

• Microsoft Defender XDR suoratoiston ohjelmointirajapinta

• Tuetut Microsoft Defender XDR tapahtumatyypit tapahtumien suoratoiston ohjelmointirajapinnassa

• tapahtumien Stream Microsoft Defender XDR Azure-tallennustiliisi

• Azure Event Hubs -dokumentaatio

• Yhteysongelmien vianmääritys – Azuren tapahtumatoiminnot

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.