Utiliser l’API de diffusion en continu avec Microsoft Defender pour entreprises

Si votre organization dispose d’un centre d’opérations de sécurité (SOC), la possibilité d’utiliser l’API de streaming Microsoft Defender pour point de terminaison est disponible pour Defender entreprise et Microsoft 365 Business Premium. L’API vous permet de diffuser en continu des données, telles que le fichier d’appareil, le registre, le réseau, les événements de connexion, etc. vers l’un des services suivants :

• Microsoft Sentinel, une solution native cloud évolutive qui fournit des fonctionnalités SIEM (Security Information and Event Management) et soar (Security Orchestration, Automation, and Response).
• Azure Event Hubs, une plateforme de streaming Big Data moderne et un service d’ingestion d’événements qui peut s’intégrer en toute transparence à d’autres services Azure et Microsoft, tels que Stream Analytics, Power BI et Event Grid, ainsi qu’à des services externes comme Apache Spark.
• Stockage Azure, la solution de stockage cloud de Microsoft pour les scénarios de stockage de données modernes, avec un stockage hautement disponible, hautement évolutif, durable et sécurisé pour une variété d’objets de données dans le cloud.

Avec l’API de streaming, vous pouvez utiliser la détection avancée de la chasse et des attaques avec Defender entreprise et Microsoft 365 Business Premium. L’API de diffusion en continu permet aux contrôleurs de domaine d’afficher davantage de données sur les appareils, de mieux comprendre comment une attaque s’est produite et de prendre des mesures pour améliorer la sécurité des appareils.

Utiliser l’API de streaming avec Microsoft Sentinel

Remarque

Microsoft Sentinel est un service payant. Plusieurs plans et options de tarification sont disponibles. Consultez Tarification de Microsoft Sentinel.

1. Assurez-vous que Defender pour les entreprises est configuré et que les appareils sont déjà intégrés. Consultez Configurer et configurer Microsoft Defender pour entreprises.

2. Create un espace de travail Log Analytics que vous utiliserez avec Sentinel. Consultez Create un espace de travail Log Analytics.

3. Intégration à Microsoft Sentinel. Consultez Démarrage rapide : Intégrer Microsoft Sentinel.

4. Activez le connecteur Microsoft Defender XDR. Consultez Connecter des données de Microsoft Defender XDR à Microsoft Sentinel.

Utiliser l’API de streaming avec Event Hubs

Remarque

Azure Event Hubs nécessite un abonnement Azure. Avant de commencer, veillez à créer un hub d’événements dans votre locataire. Ensuite, connectez-vous à la Portail Azure, accédez à Abonnements>Votre abonnement>Fournisseurs de ressources>Inscrivez-vous à Microsoft.insights.

1. Accédez au portail Microsoft Defender et connectez-vous en tant qu’administrateur général ou administrateur de la sécurité.

2. Accédez à la page Paramètres d’exportation de données.

3. Sélectionnez Ajouter des paramètres d’exportation de données.

4. Choisissez un nom pour vos nouveaux paramètres.

5. Choisissez Transférer les événements à Azure Event Hubs.

6. Tapez votre nom Event Hubs et votre ID Event Hubs.

   Remarque

   Laisser le champ Nom event Hubs vide crée un hub d’événements pour chaque catégorie de l’espace de noms sélectionné. Si vous n’utilisez pas de cluster Event Hubs dédié, gardez à l’esprit qu’il existe une limite de 10 espaces de noms Event Hubs.

   Pour obtenir votre ID Event Hubs, accédez à votre page d’espace de noms Azure Event Hubs dans le Portail Azure. Sous l’onglet Propriétés , copiez le texte sous ID.

7. Choisissez les événements que vous souhaitez diffuser en continu, puis sélectionnez Enregistrer.

Schéma des événements dans Azure Event Hubs

Voici à quoi ressemble le schéma des événements dans Azure Event Hubs :

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

Chaque message event hub dans Azure Event Hubs contient une liste d’enregistrements. Chaque enregistrement contient le nom de l’événement, l’heure à laquelle Defender entreprise a reçu l’événement, le locataire auquel il appartient (vous obtenez les événements de votre locataire uniquement) et l’événement au format JSON dans une propriété appelée « properties ». Pour plus d’informations sur le schéma, consultez La chasse proactive aux menaces avec la chasse avancée dans Microsoft Defender XDR.

Utiliser l’API de streaming avec Stockage Azure

Stockage Azure nécessite un abonnement Azure. Avant de commencer, veillez à créer un compte de stockage dans votre locataire. Ensuite, connectez-vous à votre locataire Azure, puis accédez à Abonnements> Vosfournisseurs de ressources>d’abonnement>Inscrivez-vous à Microsoft.insights.

Activer la diffusion en continu de données brutes

1. Accédez au portail Microsoft Defender et connectez-vous en tant qu’administrateur général ou administrateur de la sécurité.

2. Accédez à la page Paramètres d’exportation de données dans Microsoft Defender XDR.

3. Sélectionnez Ajouter des paramètres d’exportation de données.

4. Choisissez un nom pour vos nouveaux paramètres.

5. Choisissez Transférer des événements vers stockage Azure.

6. Tapez votre ID de ressource de compte de stockage. Pour obtenir l’ID de ressource de votre compte de stockage, accédez à la page de votre compte de stockage dans le Portail Azure. Ensuite, sous l’onglet Propriétés , copiez le texte sous ID de ressource du compte de stockage.

7. Choisissez les événements que vous souhaitez diffuser en continu, puis sélectionnez Enregistrer.

Schéma des événements dans le compte de stockage Azure

Un conteneur d’objets blob est créé pour chaque type d’événement. Le schéma de chaque ligne d’un objet blob est le fichier JSON suivant :

{
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

Chaque objet blob contient plusieurs lignes. Chaque ligne contient le nom de l’événement, l’heure à laquelle Defender entreprise a reçu l’événement, le locataire auquel il appartient (vous obtenez les événements de votre locataire uniquement) et l’événement dans les propriétés au format JSON. Pour plus d’informations sur le schéma des événements Microsoft Defender pour point de terminaison, consultez La chasse proactive aux menaces avec la chasse avancée dans Microsoft Defender XDR.

Voir aussi

• API de streaming de données brutes dans Defender pour point de terminaison