השתמש בממשק ה- API של הזרימה עם Microsoft Defender for Business

  • מאמר

אם לארגון שלך יש מרכז פעולות אבטחה (SOC), היכולת להשתמש בממשק ה- API Microsoft Defender עבור נקודת קצה זמינה עבור Defender for Business ו- Microsoft 365 Business Premium. ה- API מאפשר לך להזרים נתונים, כגון קובץ מכשיר, רישום, רשת, אירועי כניסה ועוד לאחד מהשירותים הבאים:

  • Microsoft Sentinel, פתרון מדרגי ומותאם לענן, המספק מידע אבטחה וניהול אירועים (SIEM) ויכולות של תזמור אבטחה, אוטומציה ותגובה (SOAR).
  • מרכזי אירועים של Azure, פלטפורמת זרימת נתונים גדולה ומודרנית ושירותי בלימת אירועים, שניתן לשלב בצורה חלקה עם שירותים אחרים של Azure ו- Microsoft, כגון Stream Analytics, Power BI ורשת אירועים, יחד עם שירותים חיצוניים כגון Apache Spark.
  • Azure Storage, פתרון האחסון בענן של Microsoft עבור תרחישי אחסון נתונים מודרניים, עם שטח אחסון זמין במיוחד, מדרגי, עמיד ומאובטח בקנה מידה גדול למגוון אובייקטי נתונים בענן.

באמצעות ממשק ה- API של הזרימה, באפשרותך להשתמש בזיהוי מתקדם של ציד ותקיפה עם Defender for Business ו- Microsoft 365 Business Premium. ממשק ה- API של הזרימה מאפשר ל- SOCs להציג נתונים נוספים על מכשירים, להבין טוב יותר כיצד אירעה מתקפה ולבצע שלבים לשיפור אבטחת המכשיר.

שימוש ב- API של זרימה עם Microsoft Sentinel

הערה

Microsoft Sentinel הוא שירות בתשלום. מספר תוכניות ואפשרויות תמחור זמינות. ראה תמחור Microsoft Sentinel.

  1. ודא ש- Defender for Business מוגדר ומוגדר ושמכשירים כבר מחוברים. ראה הגדרה והגדרה של Microsoft Defender for Business.

  2. Create סביבת עבודה של ניתוח יומן רישום שבה תשתמש עם Sentinel. ראה Create עבודה של ניתוח יומן רישום.

  3. הצטרף ל- Microsoft Sentinel. ראה התחלה מהירה: צירוף Microsoft Sentinel.

  4. הפוך את Microsoft Defender XDR לזמין. ראה חיבור נתונים Microsoft Defender XDR ל- Microsoft Sentinel.

שימוש ב- API של זרימה עם מרכזי אירועים

הערה

מרכזי אירועים של Azure דורשים מנוי Azure. לפני שתתחיל, הקפד ליצור מרכז אירועים בדייר שלך. לאחרמכן, היכנס לפורטל Azure, עבור אל>> מנויים ספקי המשאבים של המנוישלך>רשומים ל- Microsoft.insights.

  1. עבור אל Microsoft Defender והיכנס כמנהל מערכת כללי אוכמנהל אבטחה.

  2. עבור אל הדף הגדרות ייצוא נתונים.

  3. בחר הוסף הגדרות ייצוא נתונים.

  4. בחר שם עבור ההגדרות החדשות.

  5. בחר העבר אירועים לרכזות אירועים של Azure.

  6. הקלד את השם של מרכזי האירועים ואת מזהה רכזות האירועים שלך.

    הערה

    השארת שדה השם 'רכזות אירועים' ריק יוצרת רכזת אירועים עבור כל קטגוריה מרחב השמות שנבחר. אם אינך משתמש באשכול רכזות אירועים ייעודיות, זכור שיש מגבלה של 10 מרחבי שמות של רכזות אירועים.

    כדי לקבל את מזהה מרכז האירועים שלך, עבור אל דף מרחב השמות של מרכזי האירועים של Azure בפורטל Azure. בכרטיסיה מאפיינים, העתק את הטקסט תחת מזהה.

  7. בחר את האירועים שברצונך להזרים ולאחר מכן בחר שמור.

סכימת האירועים במרכזי האירועים של Azure

כך נראית סכימת האירועים במרכזי האירועים של Azure:

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

כל הודעה ברכזת האירועים במרכזי האירועים של Azure מכילה רשימה של רשומות. כל רשומה מכילה את שם האירוע, השעה שבה Defender for Business קיבל את האירוע, הדייר שאליו הוא שייך (אתה מקבל אירועים מה דייר שלך בלבד) ואת האירוע בתבנית JSON במאפיין בשם "מאפיינים". לקבלת מידע נוסף אודות הסכימה, ראה חיפוש יזום אחר איומים עם ציד מתקדם Microsoft Defender XDR.

שימוש ב- API של זרימה עם Azure Storage

Azure Storage דורש מנוי Azure. לפני שתתחיל, הקפד ליצור חשבון אחסון בדייר שלך. לאחר מכן, היכנס לדייר Azure שלך ועבור >>> אל מנויים ספקי המשאבים של המנוי שלךרשומים ל- Microsoft.insights.

הפוך זרימת נתונים גולמית לזמינה

  1. עבור אל Microsoft Defender והיכנס כמנהל מערכת כללי אוכמנהל אבטחה.

  2. עבור לדף הגדרות ייצוא נתונים ב- Microsoft Defender XDR.

  3. בחר הוסף הגדרות ייצוא נתונים.

  4. בחר שם עבור ההגדרות החדשות.

  5. בחר העבר אירועים ל- Azure Storage.

  6. הקלד את מזהה המשאב של חשבון האחסון שלך. כדי לקבל את מזהה המשאב של חשבון האחסון שלך, עבור אל דף חשבון האחסון שלך בפורטל Azure. לאחר מכן, בכרטיסיה מאפיינים , העתק את הטקסט תחת מזהה משאב של חשבון אחסון.

  7. בחר את האירועים שברצונך להזרים ולאחר מכן בחר שמור.

סכימת האירועים בחשבון Azure Storage

גורם מכיל של Blob נוצר עבור כל סוג אירוע. הסכימה של כל שורה ב- blob היא קובץ ה- JSON הבא:

{
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

כל Blob מכיל שורות מרובות. כל שורה מכילה את שם האירוע, השעה שבה Defender for Business קיבל את האירוע, הדייר שאליו הוא שייך (אתה מקבל אירועים מהדויר שלך בלבד) ואת האירוע בממאפיינים של תבנית JSON. לקבלת מידע נוסף אודות הסכימה של Microsoft Defender עבור נקודת קצה, ראה חיפוש יזום אחר איומים עם ציד מתקדם Microsoft Defender XDR.

למידע נוסף