Partager via

Configurer vos hubs d’événements

  • S’applique à: Microsoft Defender XDR

Remarque

Essayez nos nouvelles API à l’aide de l’API de sécurité MS Graph. Pour plus d’informations, consultez : Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn.

Découvrez comment configurer vos hubs d’événements afin qu’il puisse ingérer des événements à partir de Microsoft Defender XDR.

Configurer le fournisseur de ressources requis dans l’abonnement Event Hubs

  1. Connectez-vous au Portail Azure.
  2. Sélectionnez Abonnements>{ Sélectionnez l’abonnement sur lequel les hubs d’événements seront déployés sur }>Fournisseurs de ressources.
  3. Vérifiez si le fournisseur Microsoft.Insights est inscrit. Sinon, inscrivez-le.

Page liste des fournisseurs de services dans microsoft Portail Azure

Configurer l’inscription d’application Microsoft Entra

Remarque

Vous devez avoir le rôle Administrateur ou Microsoft Entra ID devez être défini pour autoriser les non-administrateurs à inscrire des applications. Vous devez également disposer d’un rôle Propriétaire ou Administrateur de l’accès utilisateur pour attribuer un rôle au principal de service. Pour plus d’informations, consultez Créer une application Microsoft Entra & principal de service dans le portail - Plateforme d'identités Microsoft | Microsoft Docs.

  1. Créez une inscription (qui crée par nature un principal de service) dans Microsoft Entra ID>inscriptions d'applications>Nouveau inscription.

  2. Remplissez le formulaire avec uniquement le nom (aucun URI de redirection n’est requis).

    Section d’affichage du nom de l’application dans microsoft Portail Azure

    La section Informations de vue d’ensemble dans microsoft Portail Azure

  3. Créez un secret en cliquant sur Certificats & secrets>Nouveau secret client :

    Section Clé secrète client dans microsoft Portail Azure

Cette valeur de clé secrète client est utilisée par les API Microsoft Graph pour authentifier cette application en cours d’inscription.

Avertissement

Vous ne pourrez plus accéder à la clé secrète client. Veillez donc à l’enregistrer.

Configurer l’espace de noms Event Hubs

  1. Créez un espace de noms Event Hubs :

    Accédez à Event Hub > Ajouter et sélectionnez le niveau tarifaire, les unités de débit et l’augmentation automatique (nécessite une tarification standard et des fonctionnalités inférieures) appropriés à la charge attendue. Pour plus d’informations, consultez Tarification - Event Hubs | Microsoft Azure.

    Remarque

    Vous pouvez utiliser un event-hub existant, mais le débit et la mise à l’échelle sont définis au niveau de l’espace de noms. Microsoft recommande de placer un event-hub dans son propre espace de noms.

    Section Event Hubs dans microsoft Portail Azure

  2. Vous avez besoin de l’ID de ressource de cet espace de noms Event Hubs. Accédez à votre page > d’espace de noms Azure Event Hubs Propriétés. Copiez le texte sous ID de ressource et enregistrez-le pour l’utiliser pendant la configuration de Microsoft 365.

    Section propriétés event hubs dans microsoft Portail Azure

Ajouter des autorisations

Vous devez ajouter des autorisations aux rôles suivants aux entités impliquées dans la gestion des données Event Hubs :

  • Contributeur : les autorisations associées à ce rôle sont ajoutées à l’entité qui se connecte au portail Microsoft Defender.
  • Lecteur et récepteur de données Azure Event Hub : les autorisations associées à ces rôles sont attribuées à l’entité à qui le rôle d’un principal de service est déjà attribué et se connecte à l’application Microsoft Entra.

Pour vous assurer que ces rôles sont ajoutés, effectuez l’étape suivante :

Accédez à Espace de noms>Event Hub Access Control (IAM)>Ajouter et vérifier sous Attributions de rôles.

Section du principal du service d’inscription d’application dans microsoft Portail Azure

Configurer Event Hubs

Option 1 :

Vous pouvez créer des hubs d’événements dans votre espace de noms et tous les types d’événements (tables) que vous choisissez d’exporter sont écrits dans ce hub d’événements .

Option 2 :

Au lieu d’exporter tous les types d’événements (tables) dans un hub d’événements, vous pouvez exporter chaque table dans différents Event Hubs au sein de votre espace de noms Event Hubs (un hub d’événements par type d’événement).

Dans cette option, Microsoft Defender XDR crée Event Hubs pour vous.

Remarque

Si vous utilisez un espace de noms Event Hub qui ne fait pas partie d’un cluster Event Hub, vous pouvez uniquement choisir jusqu’à 10 types d’événements (tables) à exporter dans chaque paramètre d’exportation que vous définissez, en raison d’une limitation Azure de 10 Event Hub par espace de noms Event Hub.

Par exemple :

Section Event Hubs dans microsoft Portail Azure

Si vous choisissez cette option, vous pouvez passer à la section Configurer Microsoft Defender XDR pour envoyer des tables de courrier électronique.

Créez Event Hubs dans votre espace de noms en sélectionnant Event Hub>+ Event Hub.

Le nombre de partitions permet d’augmenter le débit via le parallélisme. Il est donc recommandé d’augmenter ce nombre en fonction de la charge attendue. Les valeurs de rétention et de capture des messages par défaut 1 et Off sont recommandées.

Section de création d’event hubs dans microsoft Portail Azure

Pour ces hubs d’événements (pas d’espace de noms), vous devez configurer une stratégie d’accès partagé avec les revendications Envoyer, Écouter. Cliquez sur stratégiesd’accès> partagé de votre hub> d’événements + Ajouter, puis donnez-lui un nom de stratégie (non utilisé ailleurs) et case activée Envoyer et écouter.

Page Stratégies d’accès partagé dans microsoft Portail Azure

Configurer Microsoft Defender XDR pour envoyer des tables de courrier électronique

Configurer Microsoft Defender XDR envoyer des tables Email à Splunk via Event Hubs

  1. Connectez-vous à Microsoft Defender XDR avec un compte qui répond à toutes les exigences de rôle suivantes :

    • Rôle contributeur au niveau de ressource de l’espace de noms Event Hubs ou supérieur pour les hubs d’événements vers lesquels vous exportez. Une erreur d’exportation se produit lorsque vous essayez d’enregistrer les paramètres sans cette autorisation.

    • Rôle Administration de sécurité sur le locataire lié à Microsoft Defender XDR et Azure.

      Page Paramètres du portail Microsoft Defender

  2. Cliquez sur Exportation > de données brutes +Ajouter.

    Utilisez les données que vous avez enregistrées précédemment.

    Nom : cette valeur est locale et doit correspondre à ce qui fonctionne dans votre environnement.

    Transférer des événements au hub d’événements : cochez cette case.

    ID de ressource event-Hub : cette valeur correspond à l’ID de ressource d’espace de noms Event Hubs que vous avez enregistré lors de la configuration d’Event Hubs.

    Nom du hub d’événements : si vous avez créé un Event Hubs à l’intérieur de votre espace de noms Event Hubs, collez le nom Event Hubs que vous avez enregistré précédemment.

    Si vous choisissez de laisser Microsoft Defender XDR créer des hubs d’événements par types d’événements (tables) pour vous, laissez ce champ vide.

    Types d’événements : sélectionnez les tables de chasse avancée que vous souhaitez transférer à Event Hubs, puis à votre application personnalisée. Les tables d’alertes proviennent de Microsoft Defender XDR, les tables Appareils proviennent de Microsoft Defender pour point de terminaison (EDR) et les tables Email proviennent de Microsoft Defender pour Office 365. Email Events enregistre toutes les transactions Email. L’URL (liens fiables), la pièce jointe (pièces jointes fiables) et les événements de post-remise (ZAP) sont également enregistrés et peuvent être joints aux événements Email dans le champ NetworkMessageId.

    Page paramètres de l’API de streaming dans microsoft Portail Azure

  3. Veillez à cliquer sur Envoyer.

Vérifiez que les événements sont exportés vers Event Hubs

Vous pouvez vérifier que les événements sont envoyés à Event Hubs en exécutant une requête de chasse avancée de base. Sélectionnez Hunting Advanced HuntingQuery (Requête>de chasse> avancée) et entrez la requête suivante :

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

Cette requête vous indique le nombre d’e-mails reçus au cours de la dernière heure jointes dans toutes les autres tables. Il vous indique également si vous voyez des événements qui peuvent être exportés vers les hubs d’événements. Si ce nombre indique 0, vous ne verrez aucune donnée sortante vers Event Hubs.

Page de repérage avancé dans microsoft Portail Azure

Une fois que vous avez vérifié qu’il existe des données à exporter, vous pouvez afficher la page Event Hubs pour vérifier que les messages sont entrants. Ce processus peut prendre jusqu’à une heure.

  1. Dans Azure, accédez à Event Hub> Cliquez sur l’espace de noms>Event Hub> Cliquez sur Event Hub.
  2. Sous Vue d’ensemble, faites défiler vers le bas et dans le graphique Messages, vous devriez voir Messages entrants. Si vous ne voyez aucun résultat, il n’y a aucun message à ingérer pour votre application personnalisée.

Page Vue d’ensemble du Portail Azure Microsoft 365

Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.