קביעת Microsoft Defender XDR להזרמת אירועי ציד מתקדמים אל מרכז האירועים של Azure

  • מאמר

חל על:

הערה

נסה את ממשקי ה- API החדשים שלנו באמצעות API של אבטחה של MS Graph. קבל מידע נוסף ב: השתמש ב- API לאבטחה של Microsoft Graph - Microsoft Graph | Microsoft Learn.

חשוב

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.

דרישות מוקדמות

לפני קביעת התצורה Microsoft Defender XDR להזרמת נתונים לרכזות אירועים, ודא שהדרישות המוקדמות הבאות ימושמו:

  1. Create מרכזי אירועים (לקבלת מידע, ראה הגדרת רכזות אירועים).

  2. יצירת מרחב שמות של רכזות אירועים (לקבלת מידע, ראה הגדרת מרחב שמות של רכזות אירועים).

  3. הוסף הרשאות לישות שיש לה הרשאות של משתתף כדי שישות זו תוכל לייצא נתונים לרכזות האירועים. לקבלת מידע נוסף אודות הוספת הרשאות, ראה הוספת הרשאות

הערה

ניתן לשלב את ה- API של הזרימה באמצעות מרכזי אירועים או חשבון אחסון של Azure.

הפוך זרימת נתונים גולמית לזמינה

  1. היכנס לפורטל Microsoft Defender כמנהלמערכת כללי אוכמנהל אבטחה.

  2. עבור אל דף ההגדרות של API של זרימה.

  3. לחץ על הוסף.

  4. בחר שם עבור ההגדרות החדשות.

  5. בחר העבר אירועים לרכזת האירועים של Azure.

  6. באפשרותך לבחור אם ברצונך לייצא את נתוני האירוע לרכזת אירועים אחת, או לייצא כל טבלת אירוע לרכזות אירועים שונות מרחב השמות של מרכזי האירועים.

  7. כדי לייצא את נתוני האירוע לרכזת אירועים אחת, הזן את השם של מרכז האירועים ואת מזהה המשאב של מרכז האירועים.

    כדי לקבל את מזהה המשאב של מרכז האירועים, עבור אל דף מרחב השמות של רכזות האירועים של Azure בכרטיסיה מאפייני Azure>> העתק את הטקסט תחת מזהה משאב:

    מזהה משאב של מרכז האירועים

  8. עבור אל ה- API Microsoft Defender XDR אירועים נתמכים ב- API של זרימת אירועים כדי לסקור את מצב התמיכה של סוגי אירועים ב- API של Microsoft 365 Streaming.

  9. בחר את האירועים שברצונך להזרים ולחץ על שמור.

סכימת האירועים במרכז האירועים של Azure

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

  • כל הודעה במרכזי אירועים במרכזי האירועים של Azure מכילה רשימת רשומות.

  • כל רשומה מכילה את שם האירוע, השעה Microsoft Defender XDR האירוע, הדייר שבו היא שייכת (תקבל רק אירועים מהדויר שלך) ואת האירוע בתבנית JSON במאפיין בשם "מאפיינים".

  • לקבלת מידע נוסף אודות הסכימה של Microsoft Defender XDR, ראה מבט כולל על ציד מתקדם.

  • ב'ציד מתקדם', הטבלה DeviceInfo כוללת עמודה בשם MachineGroup המכילה את קבוצת המכשיר. כאן כל אירוע יתוושט גם בעמודה זו.

מיפוי סוגי נתונים

כדי לקבל את סוגי הנתונים עבור מאפייני אירוע, בצע את השלבים הבאים:

  1. היכנס אל Microsoft Defender XDR ועבור לדף 'ציד מתקדם'.

  2. הפעל את השאילתה הבאה כדי לקבל את מיפוי סוגי הנתונים עבור כל אירוע:

    {EventType}
| getschema
| project ColumnName, ColumnType

  • להלן דוגמה לאירוע פרטי מכשיר:

    שאילתה לדוגמה עבור פרטי מכשיר

מעריך את הקיבולת הראשונית של רכזת האירועים

השאילתה הבאה 'ציד מתקדם' יכולה לעזור לספק הערכה כללית של תפוקת נפח הנתונים וקיבולת התחלתית של רכזת האירועים בהתבסס על אירועים/שניות ו- MB משוער/שניה. אנו ממליצים להפעיל את השאילתה במהלך שעות העבודה הרגילות כדי ללכוד תפוקה 'אמיתית'.

let bytes_ = 500;
union withsource=MDTables *
| where Timestamp > startofday(ago(6h))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60
| summarize avg(EPS), estimatedMBPerSec = (avg(EPS) * bytes_ ) / (1024*1024) by MDTables
| sort by toint(estimatedMBPerSec) desc

ניטור משאבים שנוצרו

באפשרותך לנטר את המשאבים שנוצרו על-ידי ה- API של הזרימה באמצעות Azure Monitor. לקבלת מידע נוסף, ראה ייצוא נתוני סביבת עבודה של ניתוח יומן רישום ב- Azure Monitor.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.