קביעת התצורה של מרכזי האירועים שלך
חל על:
הערה
נסה את ממשקי ה- API החדשים שלנו באמצעות API של אבטחה של MS Graph. קבל מידע נוסף ב: השתמש ב- API לאבטחה של Microsoft Graph - Microsoft Graph | Microsoft Learn.
למד כיצד לקבוע את התצורה של מרכזי האירועים כך שהוא יוכל להוסיף אירועים מ- Microsoft Defender XDR.
הגדרת ספק המשאבים הנדרש במנוי 'מרכזי אירועים'
- היכנס לפורטל פורטל Microsoft Azure.
- בחר מנויים>{ בחר את המנוי שרכזות האירועים ייפרסו אל }>ספקי משאבים.
- בדוק אם ספק Microsoft.Insights רשום. אחרת, רשום אותו.
הגדרת רישום אפליקציות Entra של Microsoft
הערה
דרוש לך תפקיד מנהל מערכת או מזהה Microsoft Entra כדי לאפשר למשתמשים שאינם מנהלי מערכת לרשום יישומים. דרוש לך גם תפקיד 'בעלים' או 'מנהל גישת משתמש' כדי להקצות תפקיד למנהל השירות. לקבלת מידע נוסף, ראה יצירת יישום Entra של Microsoft & מנהל שירות בפורטל - פלטפורמת הזהויות של Microsoft | Microsoft Docs.
צור רישום חדש (אשר יוצר באופן מהותי מנהל שירות) ברישום יישומים של Microsoft Entra ID>>רישום חדש.
מלא את הטופס בשם (לא נדרש URI של ניתוב מחדש).
צור סוד על-ידי לחיצה על אישורים & סוד>לקוח חדש:
ערך סודי זה של לקוח משמש את ממשקי ה- API של Microsoft Graph לאימות יישום זה הרשום.
אזהרה
לא תוכל לגשת שוב אל סוד הלקוח, לכן הקפד לשמור אותו.
הגדרת מרחב שמות של רכזות אירועים
צור מרחב שמות של רכזות אירועים:
עבור אל מרכז > האירועים הוסף ובחר את רמות התמחור, יחידות התפוקה והתפוקה האוטומטית (דורש תמחור סטנדרטי ותחת תכונות) המתאימות לטעינה שאתה מצפה לה. לקבלת מידע נוסף, ראה תמחור - מרכזי אירועים | Microsoft Azure.
הערה
באפשרותך להשתמש ברכזת אירועים קיימת, אך התפוקה והקנה המידה מוגדרים ברמת מרחב השמות, ולכן מומלץ למקם רכזת אירועים מרחב שמות משלה.
תזדקק גם למזהה המשאב של מרחב שמות זה של רכזות אירועים. עבור אל מאפייני מרחב השמות של מרחב השמות של > Azure Event Hubs. העתק את הטקסט תחת מזהה משאב ותעד אותו לשימוש במהלך המקטע תצורת Microsoft 365 להלן.
הוספת הרשאות
אתה נדרש להוסיף הרשאות לתפקידים הבאים לישויות המעורבות בניהול נתונים של מרכזי אירועים:
- משתתף: ההרשאות הקשורות לתפקיד זה מתווספות לישות הנכנסת לפורטל Microsoft Defender.
- מקבל הנתונים של Reader ו- Azure Event Hub: ההרשאות הקשורות לתפקידים אלה מוקצות לישות שכבר הוקצתה לה תפקיד של מנהל שירות, והן נכנסות ליישום Microsoft Entra.
כדי להבטיח שתפקידים אלה נוספו, בצע את השלב הבא:
עבור אל בקרת גישה למרווח שמות של>מרכז האירועים (IAM)>הוסף ואמת תחת הקצאות תפקידים.
הגדרת רכזות אירועים
אפשרות 1:
באפשרותך ליצור רכזות אירועים בתוך מרחב השמות שלך וכל סוגי האירועים (טבלאות) שתבחר לייצוא ייכתבו במרכז אירועים אחד זה.
אפשרות 2:
במקום לייצא את כל סוגי האירועים (טבלאות) לרכזת אירועים אחת, באפשרותך לייצא כל טבלה לרכזות אירועים שונות בתוך מרחב השמות של רכזות האירועים (מרכז אירועים אחד לכל סוג אירוע).
באפשרות זו, XDR של Microsoft Defender ייצור מרכזי אירועים עבורך.
הערה
אם אתה משתמש במרווח שמות של רכזת אירועים שאינו מהווה חלק מאשכול רכזת האירועים, תוכל לבחור עד 10 סוגי אירועים (טבלאות) לייצוא בכל הגדרות ייצוא שאתה מגדיר, עקב מגבלה של Azure של 10 מרכז האירועים לכל מרחב שמות של מרכז האירועים.
לדוגמה:
אם תבחר באפשרות זו, תוכל לדלג למקטע קביעת תצורה של XDR של Microsoft Defender כדי לשלוח טבלאות דואר אלקטרוני.
צור מרכזי אירועים בתוך מרחב השמות שלך על-ידי בחירת מרכז האירועים>+ מרכז האירועים.
ספירת המחיצות מאפשרת תפוקה רבה יותר דרך מקביליות, ולכן מומלץ להגדיל מספר זה בהתבסס על העומס שאתה מצפה לו. מומלץ להשתמש בערכי שמירה ולכידה של הודעות המוגדרים כברירת מחדל של 1 ו'כבוי'.
עבור מרכזי אירועים אלה (לא מרחב שמות), יהיה עליך לקבוע תצורה של מדיניות גישה משותפת עם תביעות שליחה, האזנה. לחץ על מדיניות הגישה המשותפת של>מרכז> האירועים+ הוסף ולאחר מכן תן לה שם מדיניות (לא בשימוש במקום אחר) וסמן את שלחוהאזין.
קביעת תצורה של Microsoft Defender XDR לשליחת טבלאות דואר אלקטרוני
הגדרת Microsoft Defender XDR שליחת טבלאות דואר אלקטרוני ל-Splunk באמצעות מרכזי אירועים
היכנס ל- Microsoft Defender XDR באמצעות חשבון שעומד בכל דרישות התפקיד הבאות:
לחץ על ייצוא נתונים גולמיים > +הוספה.
כעת תשתמש בנתונים שהקלטת לעיל.
שם: ערך זה הוא מקומי ועלו להיות כל מה שעובד בסביבה שלך.
העבר אירועים לרכזת האירועים: בחר בתיבת סימון זו.
מזהה משאב של מרכז האירועים: ערך זה הוא מזהה משאב מרחב השמות של רכזות האירועים שהקלטת בעת הגדרת רכזות האירועים.
שם מרכז האירועים: אם יצרת מרכזות אירועים בתוך מרחב השמות של מרכזי האירועים, הדבק את השם של רכזות האירועים שהקלטת לעיל.
אם תבחר לאפשר ל- Microsoft Defender XDR ליצור מרכזי אירועים לכל סוגי אירועים (טבלאות), השאר שדה זה ריק.
סוגי אירועים: בחר את טבלאות הציד המתקדמות שברצונך להעביר לרכזות האירועים ולאחר מכן עבור אל היישום המותאם אישית. טבלאות התראה הן מ- Microsoft Defender XDR, טבלאות מכשירים הן מ- Microsoft Defender for Endpoint (EDR), וטבלאות הדואר האלקטרוני הן מ- Microsoft Defender for Office 365. אירועי דואר אלקטרוני מתעדים את כל עסקאות הדואר האלקטרוני. כתובת ה- URL (קישורים בטוחים), קובץ מצורף (קבצים מצורפים בטוחים) ואירועי לאחר מסירה (ZAP) מתועדים גם הם ובאפשרותך להצטרף לאירועי דואר אלקטרוני בשדה NetworkMessageId.
הקפד ללחוץ על שלח.
ודא שהאירועים מיוצאים לרכזות האירועים
באפשרותך לוודא שהאירועים נשלחים לרכזות האירועים על-ידי הפעלת שאילתת ציד מתקדמת בסיסית. בחר שאילתת>ציד מתקדמת>לציד והזן את השאילתה הבאה:
EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count
שאילתה זו תראה לך כמה הודעות דואר אלקטרוני התקבלו בשעה האחרונה המצורפות בכל הטבלאות האחרות. הוא יראה לך גם אם אתה רואה אירועים שניתן לייצא לרכזות האירוע. אם ספירה זו מציגה 0, לא תראה נתונים יוצאים אל מרכזי האירועים.
לאחר שתאמת שיש נתונים לייצוא, תוכל להציג את הדף 'מרכזי אירועים' כדי לוודא שהודעות נכנסות. תהליך זה עשוי להימשך עד שעה אחת.
- ב- Azure, עבור אל מרכז האירועים לחץ> על מרכז האירועים של>מרחב השמות לחץ> על מרכז האירועים.
- תחת מבט כולל, גלול מטה ובגרף הודעות, אתה אמור לראות הודעות נכנסות. אם אינך רואה תוצאות כלשהן, לא יתו כל הודעה שתכלול ביישום המותאם אישית שלך.
נושאים קשורים
השתמש ב- API של אבטחת Microsoft Graph - Microsoft Graph | Microsoft Learn
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.