שתף באמצעות


קביעת התצורה של מרכזי האירועים שלך

חל על:

הערה

נסה את ממשקי ה- API החדשים שלנו באמצעות API של אבטחה של MS Graph. קבל מידע נוסף ב: השתמש ב- API לאבטחה של Microsoft Graph - Microsoft Graph | Microsoft Learn.

למד כיצד לקבוע את התצורה של מרכזי האירועים כך שהוא יוכל להוסיף אירועים מ- Microsoft Defender XDR.

הגדרת ספק המשאבים הנדרש במנוי 'מרכזי אירועים'

  1. היכנס לפורטל פורטל Microsoft Azure.
  2. בחר מנויים>{ בחר את המנוי שרכזות האירועים ייפרסו אל }>ספקי משאבים.
  3. בדוק אם ספק Microsoft.Insights רשום. אחרת, רשום אותו.

הדף 'רשימת ספקי שירות' בפורטל Microsoft Azure

הגדרת רישום אפליקציות Entra של Microsoft

הערה

דרוש לך תפקיד מנהל מערכת או מזהה Microsoft Entra כדי לאפשר למשתמשים שאינם מנהלי מערכת לרשום יישומים. דרוש לך גם תפקיד 'בעלים' או 'מנהל גישת משתמש' כדי להקצות תפקיד למנהל השירות. לקבלת מידע נוסף, ראה יצירת יישום Entra של Microsoft & מנהל שירות בפורטל - פלטפורמת הזהויות של Microsoft | Microsoft Docs.

  1. צור רישום חדש (אשר יוצר באופן מהותי מנהל שירות) ברישום יישומים של Microsoft Entra ID>>רישום חדש.

  2. מלא את הטופס בשם (לא נדרש URI של ניתוב מחדש).

    מקטע התצוגה של שם היישום בפורטל Microsoft Azure

    המקטע 'מידע מבט כולל' בפורטל Microsoft Azure

  3. צור סוד על-ידי לחיצה על אישורים & סוד>לקוח חדש:

    המקטע 'סוד לקוח' בפורטל Microsoft Azure

ערך סודי זה של לקוח משמש את ממשקי ה- API של Microsoft Graph לאימות יישום זה הרשום.

אזהרה

לא תוכל לגשת שוב אל סוד הלקוח, לכן הקפד לשמור אותו.

הגדרת מרחב שמות של רכזות אירועים

  1. צור מרחב שמות של רכזות אירועים:

    עבור אל מרכז > האירועים הוסף ובחר את רמות התמחור, יחידות התפוקה והתפוקה האוטומטית (דורש תמחור סטנדרטי ותחת תכונות) המתאימות לטעינה שאתה מצפה לה. לקבלת מידע נוסף, ראה תמחור - מרכזי אירועים | Microsoft Azure.

    הערה

    באפשרותך להשתמש ברכזת אירועים קיימת, אך התפוקה והקנה המידה מוגדרים ברמת מרחב השמות, ולכן מומלץ למקם רכזת אירועים מרחב שמות משלה.

    המקטע 'מרכזי אירועים' בפורטל Microsoft Azure

  2. תזדקק גם למזהה המשאב של מרחב שמות זה של רכזות אירועים. עבור אל מאפייני מרחב השמות של מרחב השמות של > Azure Event Hubs. העתק את הטקסט תחת מזהה משאב ותעד אותו לשימוש במהלך המקטע תצורת Microsoft 365 להלן.

    מקטע המאפיינים של רכזות האירועים בפורטל Microsoft Azure

הוספת הרשאות

אתה נדרש להוסיף הרשאות לתפקידים הבאים לישויות המעורבות בניהול נתונים של מרכזי אירועים:

  • משתתף: ההרשאות הקשורות לתפקיד זה מתווספות לישות הנכנסת לפורטל Microsoft Defender.
  • מקבל הנתונים של Reader ו- Azure Event Hub: ההרשאות הקשורות לתפקידים אלה מוקצות לישות שכבר הוקצתה לה תפקיד של מנהל שירות, והן נכנסות ליישום Microsoft Entra.

כדי להבטיח שתפקידים אלה נוספו, בצע את השלב הבא:

עבור אל בקרת גישה למרווח שמות של>מרכז האירועים (IAM)>הוסף ואמת תחת הקצאות תפקידים.

סעיף ראשי של שירות רישום יישומים בפורטל Microsoft Azure

הגדרת רכזות אירועים

אפשרות 1:

באפשרותך ליצור רכזות אירועים בתוך מרחב השמות שלך וכל סוגי האירועים (טבלאות) שתבחר לייצוא ייכתבו במרכז אירועים אחד זה.

אפשרות 2:

במקום לייצא את כל סוגי האירועים (טבלאות) לרכזת אירועים אחת, באפשרותך לייצא כל טבלה לרכזות אירועים שונות בתוך מרחב השמות של רכזות האירועים (מרכז אירועים אחד לכל סוג אירוע).

באפשרות זו, XDR של Microsoft Defender ייצור מרכזי אירועים עבורך.

הערה

אם אתה משתמש במרווח שמות של רכזת אירועים שאינו מהווה חלק מאשכול רכזת האירועים, תוכל לבחור עד 10 סוגי אירועים (טבלאות) לייצוא בכל הגדרות ייצוא שאתה מגדיר, עקב מגבלה של Azure של 10 מרכז האירועים לכל מרחב שמות של מרכז האירועים.

לדוגמה:

מקטע מרכזי אירועים בפורטל Microsoft Azure

אם תבחר באפשרות זו, תוכל לדלג למקטע קביעת תצורה של XDR של Microsoft Defender כדי לשלוח טבלאות דואר אלקטרוני.

צור מרכזי אירועים בתוך מרחב השמות שלך על-ידי בחירת מרכז האירועים>+ מרכז האירועים.

ספירת המחיצות מאפשרת תפוקה רבה יותר דרך מקביליות, ולכן מומלץ להגדיל מספר זה בהתבסס על העומס שאתה מצפה לו. מומלץ להשתמש בערכי שמירה ולכידה של הודעות המוגדרים כברירת מחדל של 1 ו'כבוי'.

מקטע יצירה של רכזות אירועים בפורטל Microsoft Azure

עבור מרכזי אירועים אלה (לא מרחב שמות), יהיה עליך לקבוע תצורה של מדיניות גישה משותפת עם תביעות שליחה, האזנה. לחץ על מדיניות הגישה המשותפת של>מרכז> האירועים+ הוסף ולאחר מכן תן לה שם מדיניות (לא בשימוש במקום אחר) וסמן את שלחוהאזין.

הדף 'מדיניות גישה משותפת' בפורטל Microsoft Azure

קביעת תצורה של Microsoft Defender XDR לשליחת טבלאות דואר אלקטרוני

הגדרת Microsoft Defender XDR שליחת טבלאות דואר אלקטרוני ל-Splunk באמצעות מרכזי אירועים

  1. היכנס ל- Microsoft Defender XDR באמצעות חשבון שעומד בכל דרישות התפקיד הבאות:

    • תפקיד משתתף ברמת משאב מרחב השמות של רכזות האירועים ואילך עבור רכזות האירועים שברצונך לייצא אלן. ללא הרשאה זו, תקבל שגיאת ייצוא כאשר תנסה לשמור את ההגדרות.

    • תפקיד מנהל אבטחה בדייר הקשור ל- Microsoft Defender XDR ול- Azure.

      הדף 'הגדרות' בפורטל Microsoft Defender

  2. לחץ על ייצוא נתונים גולמיים > +הוספה.

    כעת תשתמש בנתונים שהקלטת לעיל.

    שם: ערך זה הוא מקומי ועלו להיות כל מה שעובד בסביבה שלך.

    העבר אירועים לרכזת האירועים: בחר בתיבת סימון זו.

    מזהה משאב של מרכז האירועים: ערך זה הוא מזהה משאב מרחב השמות של רכזות האירועים שהקלטת בעת הגדרת רכזות האירועים.

    שם מרכז האירועים: אם יצרת מרכזות אירועים בתוך מרחב השמות של מרכזי האירועים, הדבק את השם של רכזות האירועים שהקלטת לעיל.

    אם תבחר לאפשר ל- Microsoft Defender XDR ליצור מרכזי אירועים לכל סוגי אירועים (טבלאות), השאר שדה זה ריק.

    סוגי אירועים: בחר את טבלאות הציד המתקדמות שברצונך להעביר לרכזות האירועים ולאחר מכן עבור אל היישום המותאם אישית. טבלאות התראה הן מ- Microsoft Defender XDR, טבלאות מכשירים הן מ- Microsoft Defender for Endpoint (EDR), וטבלאות הדואר האלקטרוני הן מ- Microsoft Defender for Office 365. אירועי דואר אלקטרוני מתעדים את כל עסקאות הדואר האלקטרוני. כתובת ה- URL (קישורים בטוחים), קובץ מצורף (קבצים מצורפים בטוחים) ואירועי לאחר מסירה (ZAP) מתועדים גם הם ובאפשרותך להצטרף לאירועי דואר אלקטרוני בשדה NetworkMessageId.

    דף ההגדרות של API של זרימה בפורטל Microsoft Azure

  3. הקפד ללחוץ על שלח.

ודא שהאירועים מיוצאים לרכזות האירועים

באפשרותך לוודא שהאירועים נשלחים לרכזות האירועים על-ידי הפעלת שאילתת ציד מתקדמת בסיסית. בחר שאילתת>ציד מתקדמת>לציד והזן את השאילתה הבאה:

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

שאילתה זו תראה לך כמה הודעות דואר אלקטרוני התקבלו בשעה האחרונה המצורפות בכל הטבלאות האחרות. הוא יראה לך גם אם אתה רואה אירועים שניתן לייצא לרכזות האירוע. אם ספירה זו מציגה 0, לא תראה נתונים יוצאים אל מרכזי האירועים.

דף הציד המתקדם בפורטל Microsoft Azure

לאחר שתאמת שיש נתונים לייצוא, תוכל להציג את הדף 'מרכזי אירועים' כדי לוודא שהודעות נכנסות. תהליך זה עשוי להימשך עד שעה אחת.

  1. ב- Azure, עבור אל מרכז האירועים לחץ> על מרכז האירועים של>מרחב השמות לחץ> על מרכז האירועים.
  2. תחת מבט כולל, גלול מטה ובגרף הודעות, אתה אמור לראות הודעות נכנסות. אם אינך רואה תוצאות כלשהן, לא יתו כל הודעה שתכלול ביישום המותאם אישית שלך.

 הדף 'מבט כולל' בפורטל Microsoft 365 Azure

השתמש ב- API של אבטחת Microsoft Graph - Microsoft Graph | Microsoft Learn

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.