Megosztás a következőn keresztül:

A Microsoft Defender XDR konfigurálása speciális veszélyforrás-keresési események streameléséhez az Azure Event Hubba

  • Cikk

Érintett szolgáltatás:

Megjegyzés:

Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.

Fontos

A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

Előfeltételek

Mielőtt konfigurálja a Microsoft Defender XDR-t arra, hogy adatokat streameljen az Event Hubsba, győződjön meg arról, hogy a következő előfeltételek teljesülnek:

  1. Eseményközpontok létrehozása (további információ: Event Hubs beállítása).

  2. Event Hubs-névtér létrehozása (további információ: Event Hubs-névtér beállítása).

  3. Adjon engedélyeket ahhoz az entitáshoz, amely közreműködői jogosultságokkal rendelkezik, hogy az entitás adatokat exportálhat az Event Hubsba. További információ az engedélyek hozzáadásáról: Engedélyek hozzáadása

Megjegyzés:

A streamelési API az Event Hubson vagy az Azure Storage-fiókon keresztül integrálható.

Nyers adatstreamelés engedélyezése

  1. Legalább biztonsági rendszergazdaként jelentkezzen be a Microsoft Defender portálra.

Fontos

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

  1. Lépjen a Streamelési API beállításainak lapjára.

  2. Kattintson a Hozzáadás gombra.

  3. Válasszon nevet az új beállításoknak.

  4. Válassza az Események továbbítása az Azure Event Hubba lehetőséget.

  5. Kiválaszthatja, hogy egyetlen eseményközpontba szeretné-e exportálni az eseményadatokat, vagy az egyes eseménytáblákat egy másik Event Hubs-eseményközpontba szeretné exportálni az Event Hubs-névtérben.

  6. Ha egyetlen eseményközpontba szeretné exportálni az eseményadatokat, adja meg az eseményközpont nevét és az eseményközpont erőforrás-azonosítóját.

    Az Eseményközpont erőforrás-azonosítójának lekéréséhez lépjen az Azure Event Hubs-névtér oldalára az Azure>Tulajdonságok lapon > másolja a szöveget az Erőforrás-azonosító területen:

    Eseményközpont erőforrás-azonosítója

  7. A Microsoft 365 Streaming API eseménytípusainak támogatási állapotának áttekintéséhez lépjen a Támogatott Microsoft Defender XDR-eseménytípusok az eseménystreamelési API-ban című témakörre.

  8. Válassza ki a streamelni kívánt eseményeket, majd kattintson a Mentés gombra.

Az Azure Event Hubban lévő események sémája

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

  • Az Azure Event Hubs minden Event Hubs-üzenete tartalmazza a rekordok listáját.

  • Minden rekord tartalmazza az esemény nevét, azt az időpontot, amikor a Microsoft Defender XDR megkapta az eseményt, a bérlőt, amelyhez tartozik (csak a bérlőtől fog eseményeket kapni), valamint az eseményT JSON formátumban egy "properties" nevű tulajdonságban.

  • A Microsoft Defender XDR-események sémájáról további információt a Speciális veszélyforrás-keresés áttekintése című témakörben talál.

  • A Speciális veszélyforrás-keresés területen a DeviceInfo tábla egy MachineGroup nevű oszlopot tartalmaz, amely az eszközcsoportot tartalmazza. Itt minden eseményt ezzel az oszloppal díszítünk.

Adattípusok leképezése

Az eseménytulajdonságok adattípusainak lekéréséhez hajtsa végre az alábbi lépéseket:

  1. Jelentkezzen be a Microsoft Defender XDR-be , és lépjen a Speciális veszélyforrás-keresés oldalra.

  2. Futtassa a következő lekérdezést az egyes események adattípus-leképezésének lekéréséhez:

    {EventType}
| getschema
| project ColumnName, ColumnType

  • Íme egy példa az Eszközadatok eseményre:

    Eszközadatokra vonatkozó példa lekérdezés

Kezdeti Event Hub-kapacitás becslése

Az alábbi speciális veszélyforrás-keresési lekérdezés segítségével hozzávetőlegesen megbecsülheti az adatmennyiség átviteli sebességét és a kezdeti eseményközpont kapacitását az események/s és a becsült MB/s alapján. Javasoljuk, hogy a lekérdezést normál munkaidőben futtassa a "valós" átviteli sebesség rögzítése érdekében.

let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60 
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec

A különböző Event Hubs-korlátok ellenőrzéséhez tekintse át az Azure Event Hubs kvótáit és korlátait ismertető cikket.

Létrehozott erőforrások monitorozása

A streamelési API által létrehozott erőforrásokat az Azure Monitor használatával figyelheti. További információ: Log Analytics-munkaterület adatexportálása az Azure Monitorban.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.