Partager via


Configurer vos hubs d’événements

S’applique à :

Remarque

Essayez nos nouvelles API à l’aide de l’API de sécurité MS Graph. Pour plus d’informations, consultez : Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn.

Découvrez comment configurer vos hubs d’événements afin qu’ils puissent ingérer des événements à partir de Microsoft Defender XDR.

Configurer le fournisseur de ressources requis dans l’abonnement Event Hubs

  1. Connectez-vous au Portail Azure.
  2. Sélectionnez Abonnements>{ Sélectionnez l’abonnement sur lequel les hubs d’événements seront déployés sur }>Fournisseurs de ressources.
  3. Vérifiez si le fournisseur Microsoft.Insights est inscrit. Sinon, inscrivez-le.

Page liste des fournisseurs de services dans le portail Microsoft Azure

Configurer l’inscription de l’application Microsoft Entra

Remarque

Vous devez avoir le rôle Administrateur ou l’ID Microsoft Entra doit être défini pour permettre aux non-administrateurs d’inscrire des applications. Vous devez également disposer d’un rôle Propriétaire ou Administrateur de l’accès utilisateur pour attribuer un rôle au principal de service. Pour plus d’informations, consultez Créer une application Microsoft Entra & principal de service dans le portail - Plateforme d’identités Microsoft | Microsoft Docs.

  1. Créez une inscription (qui crée par nature un principal de service) dans l’ID> Microsoft EntraInscriptions> del’application Nouvelle inscription.

  2. Remplissez le formulaire avec uniquement le nom (aucun URI de redirection n’est requis).

    Section d’affichage du nom de l’application dans le portail Microsoft Azure

    Section Informations de vue d’ensemble dans le portail Microsoft Azure

  3. Créez un secret en cliquant sur Certificats & secrets>Nouveau secret client :

    Section Clé secrète client dans le portail Microsoft Azure

Cette valeur de clé secrète client est utilisée par les API Microsoft Graph pour authentifier cette application en cours d’inscription.

Avertissement

Vous ne pourrez plus accéder à la clé secrète client. Veillez donc à l’enregistrer.

Configurer l’espace de noms Event Hubs

  1. Créez un espace de noms Event Hubs :

    Accédez à Event Hub > Ajouter et sélectionnez le niveau tarifaire, les unités de débit et l’augmentation automatique (nécessite une tarification standard et des fonctionnalités inférieures) appropriés à la charge attendue. Pour plus d’informations, consultez Tarification - Event Hubs | Microsoft Azure.

    Remarque

    Vous pouvez utiliser un event-hub existant, mais le débit et la mise à l’échelle sont définis au niveau de l’espace de noms. Il est donc recommandé de placer un event-hub dans son propre espace de noms.

    Section Event Hubs dans le portail Microsoft Azure

  2. Vous aurez également besoin de l’ID de ressource de cet espace de noms Event Hubs. Accédez à la page Propriétés de votre espace > de noms Azure Event Hubs. Copiez le texte sous ID de ressource et enregistrez-le pour l’utiliser dans la section Configuration de Microsoft 365 ci-dessous.

    Section propriétés d’Event Hubs dans le portail Microsoft Azure

Ajouter des autorisations

Vous devez ajouter des autorisations aux rôles suivants aux entités impliquées dans la gestion des données Event Hubs :

  • Contributeur : les autorisations associées à ce rôle sont ajoutées à l’entité qui se connecte au portail Microsoft Defender.
  • Lecteur et récepteur de données Azure Event Hub : les autorisations liées à ces rôles sont attribuées à l’entité à qui le rôle d’un principal de service est déjà attribué et qui se connecte à l’application Microsoft Entra.

Pour vous assurer que ces rôles ont été ajoutés, effectuez l’étape suivante :

Accédez à Contrôle d’accès à l’espace de noms>Event Hub (IAM)>Ajouter et vérifier sous Attributions de rôles.

Section du principal du service d’inscription d’application dans le portail Microsoft Azure

Configurer Event Hubs

Option 1 :

Vous pouvez créer un Event Hubs dans votre espace de noms et tous les types d’événements (tables) que vous choisissez d’exporter seront écrits dans ce hub d’événements .

Option 2 :

Au lieu d’exporter tous les types d’événements (tables) dans un hub d’événements, vous pouvez exporter chaque table dans différents Event Hubs au sein de votre espace de noms Event Hubs (un hub d’événements par type d’événement).

Dans cette option, Microsoft Defender XDR crée Event Hubs pour vous.

Remarque

Si vous utilisez un espace de noms Event Hub qui ne fait pas partie d’un cluster Event Hub, vous pouvez uniquement choisir jusqu’à 10 types d’événements (tables) à exporter dans chaque paramètre d’exportation que vous définissez, en raison d’une limitation Azure de 10 Event Hub par espace de noms Event Hub.

Par exemple :

Section Event Hubs dans le portail Microsoft Azure

Si vous choisissez cette option, vous pouvez passer à la section Configurer Microsoft Defender XDR pour envoyer des tables de courrier électronique .

Créez Event Hubs dans votre espace de noms en sélectionnant Event Hub>+ Event Hub.

Le nombre de partitions permet d’augmenter le débit via le parallélisme. Il est donc recommandé d’augmenter ce nombre en fonction de la charge attendue. Les valeurs de rétention et de capture des messages par défaut 1 et Off sont recommandées.

Section création d’event hubs dans le portail Microsoft Azure

Pour ces hubs d’événements (pas d’espace de noms), vous devez configurer une stratégie d’accès partagé avec les revendications Envoyer, Écouter. Cliquez sur stratégiesd’accès> partagé de votre hub> d’événements + Ajouter, puis attribuez-lui un nom de stratégie (non utilisé ailleurs) et cochez Envoyer et écouter.

Page Stratégies d’accès partagé dans le portail Microsoft Azure

Configurer Microsoft Defender XDR pour envoyer des tables d’e-mail

Configurer des tables d’envoi d’e-mails microsoft Defender XDR à Splunk via Event Hubs

  1. Connectez-vous à Microsoft Defender XDR avec un compte qui répond à toutes les exigences de rôle suivantes :

    • Rôle contributeur au niveau de ressource de l’espace de noms Event Hubs ou supérieur pour les hubs d’événements vers lesquels vous allez exporter. Sans cette autorisation, vous obtenez une erreur d’exportation lorsque vous essayez d’enregistrer les paramètres.

    • Rôle d’administrateur de sécurité sur le locataire lié à Microsoft Defender XDR et Azure.

      Page Paramètres du portail Microsoft Defender

  2. Cliquez sur Exportation > de données brutes +Ajouter.

    Vous allez maintenant utiliser les données que vous avez enregistrées ci-dessus.

    Nom : cette valeur est locale et doit correspondre à ce qui fonctionne dans votre environnement.

    Transférer des événements au hub d’événements : cochez cette case.

    ID de ressource event-Hub : cette valeur correspond à l’ID de ressource d’espace de noms Event Hubs que vous avez enregistré lors de la configuration d’Event Hubs.

    Nom du hub d’événements : si vous avez créé un Event Hubs à l’intérieur de votre espace de noms Event Hubs, collez le nom Event Hubs que vous avez enregistré ci-dessus.

    Si vous choisissez de laisser Microsoft Defender XDR créer des hubs d’événements par types d’événements (tables) pour vous, laissez ce champ vide.

    Types d’événements : sélectionnez les tables de chasse avancée que vous souhaitez transférer à Event Hubs, puis à votre application personnalisée. Les tables d’alerte proviennent de Microsoft Defender XDR, les tables Appareils proviennent de Microsoft Defender pour point de terminaison (EDR) et les tables e-mail proviennent de Microsoft Defender pour Office 365. Les événements d’e-mail enregistrent toutes les transactions de courrier électronique. L’URL (liens fiables), la pièce jointe (pièces jointes fiables) et les événements de post-remise (ZAP) sont également enregistrés et peuvent être joints aux événements de messagerie dans le champ NetworkMessageId.

    Page des paramètres de l’API de streaming dans le portail Microsoft Azure

  3. Veillez à cliquer sur Envoyer.

Vérifiez que les événements sont exportés vers Event Hubs

Vous pouvez vérifier que les événements sont envoyés à Event Hubs en exécutant une requête de chasse avancée de base. Sélectionnez Hunting Advanced HuntingQuery (Requête>de chasse> avancée) et entrez la requête suivante :

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

Cette requête vous indique le nombre d’e-mails reçus au cours de la dernière heure jointes dans toutes les autres tables. Il vous indiquera également si vous voyez des événements qui peuvent être exportés vers les hubs d’événements. Si ce nombre indique 0, vous ne verrez aucune donnée sortante vers Event Hubs.

Page de repérage avancé dans le portail Microsoft Azure

Une fois que vous avez vérifié qu’il existe des données à exporter, vous pouvez afficher la page Event Hubs pour vérifier que les messages sont entrants. Ce processus peut prendre jusqu’à une heure.

  1. Dans Azure, accédez à Event Hub> Cliquez sur l’espace de noms>Event Hub> Cliquez sur Event Hub.
  2. Sous Vue d’ensemble, faites défiler vers le bas et dans le graphique Messages, vous devriez voir Messages entrants. Si vous ne voyez aucun résultat, votre application personnalisée n’aura aucun message à ingérer.

 Page Vue d’ensemble du portail Microsoft 365 Azure

Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.