A Microsoft Defender XDR konfigurálása speciális veszélyforrás-keresési események streameléséhez az Azure Event Hubba
Érintett szolgáltatás:
Megjegyzés:
Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.
Fontos
A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
Előfeltételek
Mielőtt konfigurálja a Microsoft Defender XDR-t arra, hogy adatokat streameljen az Event Hubsba, győződjön meg arról, hogy a következő előfeltételek teljesülnek:
Eseményközpontok létrehozása (további információ: Event Hubs beállítása).
Event Hubs-névtér létrehozása (további információ: Event Hubs-névtér beállítása).
Adjon engedélyeket ahhoz az entitáshoz, amely közreműködői jogosultságokkal rendelkezik, hogy az entitás adatokat exportálhat az Event Hubsba. További információ az engedélyek hozzáadásáról: Engedélyek hozzáadása
Megjegyzés:
A streamelési API az Event Hubson vagy az Azure Storage-fiókon keresztül integrálható.
Nyers adatstreamelés engedélyezése
- Legalább biztonsági rendszergazdaként jelentkezzen be a Microsoft Defender portálra.
Fontos
A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
Lépjen a Streamelési API beállításainak lapjára.
Kattintson a Hozzáadás gombra.
Válasszon nevet az új beállításoknak.
Válassza az Események továbbítása az Azure Event Hubba lehetőséget.
Kiválaszthatja, hogy egyetlen eseményközpontba szeretné-e exportálni az eseményadatokat, vagy az egyes eseménytáblákat egy másik Event Hubs-eseményközpontba szeretné exportálni az Event Hubs-névtérben.
Ha egyetlen eseményközpontba szeretné exportálni az eseményadatokat, adja meg az eseményközpont nevét és az eseményközpont erőforrás-azonosítóját.
Az Eseményközpont erőforrás-azonosítójának lekéréséhez lépjen az Azure Event Hubs-névtér oldalára az Azure>Tulajdonságok lapon > másolja a szöveget az Erőforrás-azonosító területen:
A Microsoft 365 Streaming API eseménytípusainak támogatási állapotának áttekintéséhez lépjen a Támogatott Microsoft Defender XDR-eseménytípusok az eseménystreamelési API-ban című témakörre.
Válassza ki a streamelni kívánt eseményeket, majd kattintson a Mentés gombra.
Az Azure Event Hubban lévő események sémája
{
"records": [
{
"time": "<The time Microsoft Defender XDR received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
}
...
]
}
Az Azure Event Hubs minden Event Hubs-üzenete tartalmazza a rekordok listáját.
Minden rekord tartalmazza az esemény nevét, azt az időpontot, amikor a Microsoft Defender XDR megkapta az eseményt, a bérlőt, amelyhez tartozik (csak a bérlőtől fog eseményeket kapni), valamint az eseményT JSON formátumban egy "properties" nevű tulajdonságban.
A Microsoft Defender XDR-események sémájáról további információt a Speciális veszélyforrás-keresés áttekintése című témakörben talál.
A Speciális veszélyforrás-keresés területen a DeviceInfo tábla egy MachineGroup nevű oszlopot tartalmaz, amely az eszközcsoportot tartalmazza. Itt minden eseményt ezzel az oszloppal díszítünk.
Adattípusok leképezése
Az eseménytulajdonságok adattípusainak lekéréséhez hajtsa végre az alábbi lépéseket:
Jelentkezzen be a Microsoft Defender XDR-be , és lépjen a Speciális veszélyforrás-keresés oldalra.
Futtassa a következő lekérdezést az egyes események adattípus-leképezésének lekéréséhez:
{EventType} | getschema | project ColumnName, ColumnType
Kezdeti Event Hub-kapacitás becslése
Az alábbi speciális veszélyforrás-keresési lekérdezés segítségével hozzávetőlegesen megbecsülheti az adatmennyiség átviteli sebességét és a kezdeti eseményközpont kapacitását az események/s és a becsült MB/s alapján. Javasoljuk, hogy a lekérdezést normál munkaidőben futtassa a "valós" átviteli sebesség rögzítése érdekében.
let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec
A különböző Event Hubs-korlátok ellenőrzéséhez tekintse át az Azure Event Hubs kvótáit és korlátait ismertető cikket.
Létrehozott erőforrások monitorozása
A streamelési API által létrehozott erőforrásokat az Azure Monitor használatával figyelheti. További információ: Log Analytics-munkaterület adatexportálása az Azure Monitorban.
Kapcsolódó témakörök
A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn
Támogatott Microsoft Defender XDR-eseménytípusok az eseménystreamelési API-ban
Microsoft Defender XDR-események streamelése az Azure Storage-fiókba
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: