Configurer Microsoft Defender XDR pour diffuser en continu des événements de chasse avancée vers votre hub d’événements Azure

S’applique à :

• Microsoft Defender XDR

Remarque

Essayez nos nouvelles API à l’aide de l’API de sécurité MS Graph. Pour plus d’informations, consultez : Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn.

Importante

Certaines informations contenues dans cet article concernent des produits en version préliminaire qui peuvent être considérablement modifiés avant leur commercialisation. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Configuration requise

Avant de configurer Microsoft Defender XDR pour diffuser des données vers Event Hubs, vérifiez que les conditions préalables suivantes sont remplies :

1. Créez un Event Hubs (pour plus d’informations, consultez Configurer Event Hubs).

2. Création d’un espace de noms Event Hubs (pour plus d’informations, consultez Configurer l’espace de noms Event Hubs).

3. Ajoutez des autorisations à l’entité disposant des privilèges d’un contributeur afin que cette entité puisse exporter des données vers Event Hubs. Pour plus d’informations sur l’ajout d’autorisations, consultez Ajouter des autorisations.

Remarque

L’API de streaming peut être intégrée via Event Hubs ou un compte de stockage Azure.

Activer la diffusion en continu de données brutes

1. Connectez-vous à Microsoft Defender portail en tant qu’administrateur général ou administrateur de la sécurité.

2. Accédez à la page paramètres de l’API de streaming.

3. Cliquez sur Ajouter.

4. Choisissez un nom pour vos nouveaux paramètres.

5. Choisissez Transférer des événements vers Azure Event Hub.

6. Vous pouvez sélectionner si vous souhaitez exporter les données d’événement vers un hub d’événements unique ou exporter chaque table d’événements vers un autre Event Hubs dans votre espace de noms Event Hubs.

7. Pour exporter les données d’événement vers un hub d’événements unique, entrez le nom de votre hub d’événements et l’ID de votre ressource Event Hub.

   Pour obtenir votre ID de ressource Event Hub, accédez à votre page d’espace de noms Azure Event Hubs sous l’onglet >PropriétésAzure>, copiez le texte sous ID de ressource :

   

8. Accédez à l’API Types d’événements Microsoft Defender XDR pris en charge dans le streaming d’événements pour passer en revue les status de prise en charge des types d’événements dans l’API de streaming Microsoft 365.

9. Choisissez les événements que vous souhaitez diffuser en continu, puis cliquez sur Enregistrer.

Schéma des événements dans Azure Event Hub

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

• Chaque message Event Hubs dans Azure Event Hubs contient une liste d’enregistrements.

• Chaque enregistrement contient le nom de l’événement, l’heure à laquelle Microsoft Defender XDR reçu l’événement, le locataire auquel il appartient (vous obtiendrez uniquement les événements de votre locataire) et l’événement au format JSON dans une propriété appelée « properties ».

• Pour plus d’informations sur le schéma des événements Microsoft Defender XDR, consultez Vue d’ensemble de la chasse avancée.

• Dans Repérage avancé, la table DeviceInfo comporte une colonne nommée MachineGroup qui contient le groupe de l’appareil. Ici, chaque événement sera également décoré avec cette colonne.

Mappage des types de données

Pour obtenir les types de données pour les propriétés d’événement, procédez comme suit :

1. Connectez-vous à Microsoft Defender XDR et accédez à la page Repérage avancé.

2. Exécutez la requête suivante pour obtenir le mappage des types de données pour chaque événement :

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Voici un exemple pour l’événement Device Info :

  

Estimation de la capacité initiale d’Event Hub

La requête Repérage avancé suivante peut vous aider à fournir une estimation approximative du débit du volume de données et de la capacité initiale du hub d’événements en fonction des événements/s et de l’estimation des Mo/s. Nous vous recommandons d’exécuter la requête pendant les heures normales de travail afin de capturer le débit « réel ».

let bytes_ = 500;
union withsource=MDTables *
| where Timestamp > startofday(ago(6h))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60
| summarize avg(EPS), estimatedMBPerSec = (avg(EPS) * bytes_ ) / (1024*1024) by MDTables
| sort by toint(estimatedMBPerSec) desc

Surveillance des ressources créées

Vous pouvez surveiller les ressources créées par l’API de streaming à l’aide d’Azure Monitor. Pour plus d’informations, consultez Exportation de données d’espace de travail Log Analytics dans Azure Monitor.

Voir aussi

• Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn

• Vue d’ensemble de la chasse avancée

• API de streaming Microsoft Defender XDR

• Types d’événements Microsoft Defender XDR pris en charge dans l’API de streaming d’événements

• Stream Microsoft Defender XDR des événements à votre compte de stockage Azure

• documentation Azure Event Hubs

• Résoudre les problèmes de connectivité - Azure Event Hubs

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.