Megosztás a következőn keresztül:

A streamelési API használata a Microsoft Defender Vállalati verzió

  • Cikk

Ha a szervezet rendelkezik biztonsági üzemeltetési központtal (SOC), a Végponthoz készült Microsoft Defender streamelési API használata a Defender vállalati verziójához és Microsoft 365 Vállalati prémium verzió érhető el. Az API lehetővé teszi az adatok, például az eszközfájl, a beállításjegyzék, a hálózat, a bejelentkezési események és egyebek átvitelét az alábbi szolgáltatások egyikére:

  • A Microsoft Sentinel egy skálázható, natív felhőbeli megoldás, amely biztonsági információkat és eseménykezelést (SIEM) és biztonsági vezénylési, automatizálási és reagálási (SOAR) képességeket biztosít.
  • Azure Event Hubs, egy modern big data streamelési platform és eseménybetöltési szolgáltatás, amely zökkenőmentesen integrálható más Azure- és Microsoft-szolgáltatásokkal, például a Stream Analytics, a Power BI és az Event Grid szolgáltatással, valamint olyan külső szolgáltatásokkal, mint az Apache Spark.
  • Az Azure Storage, a Microsoft felhőalapú tárolási megoldása modern adattárolási forgatókönyvekhez, magas rendelkezésre állású, nagymértékben skálázható, tartós és biztonságos tárolással a felhőben található számos adatobjektum számára.

A streamelési API-val fejlett veszélyforrás-kereséseket és támadásészlelést használhat a Defender for Business és a Microsoft 365 Vállalati prémium verzió. A streamelési API lehetővé teszi, hogy a socsok több adatot tekintsenek meg az eszközökről, jobban megértsék, hogyan történt egy támadás, és lépéseket tegyenek az eszközbiztonság javítása érdekében.

A streamelési API használata a Microsoft Sentinellel

Megjegyzés:

A Microsoft Sentinel egy fizetős szolgáltatás. Számos csomag és díjszabási lehetőség érhető el. Lásd: A Microsoft Sentinel díjszabása.

  1. Győződjön meg arról, hogy a Defender vállalati verzió be van állítva és konfigurálva van, és hogy az eszközök már elő vannak készítve. Lásd: A Microsoft Defender Vállalati verzió beállítása és konfigurálása.

  2. Létrehozás a Sentinelhez használni kívánt Log Analytics-munkaterületet. Lásd: Log Analytics-munkaterület Létrehozás.

  3. Bevezetés a Microsoft Sentinelbe. Lásd: Rövid útmutató: A Microsoft Sentinel előkészítése.

  4. Engedélyezze a Microsoft Defender XDR összekötőt. Lásd: Adatok csatlakoztatása Microsoft Defender XDR a Microsoft Sentinelhez.

A streamelési API használata az Event Hubs szolgáltatással

Megjegyzés:

Azure Event Hubs Azure-előfizetést igényel. Mielőtt hozzákezdene, mindenképpen hozzon létre egy eseményközpontot a bérlőben. Ezután jelentkezzen be a Azure Portal, majd lépjen az ElőfizetésekAz előfizetés>erőforrás-szolgáltatói>>regisztrálva a Microsoft.insights webhelyen területre.

  1. Nyissa meg a Microsoft Defender portált, és jelentkezzen be globális rendszergazdaként vagy biztonsági rendszergazdaként.

  2. Lépjen az Adatexportálási beállítások lapra.

  3. Válassza az Adatexportálási beállítások hozzáadása lehetőséget.

  4. Válasszon nevet az új beállításoknak.

  5. Válassza az Események továbbítása Azure Event Hubs lehetőséget.

  6. Írja be az Event Hubs nevét és event hubs-azonosítóját.

    Megjegyzés:

    Ha üresen hagyja az Event Hubs névmezőt, létrejön egy eseményközpont a kiválasztott névtér minden kategóriájához. Ha nem dedikált Event Hubs-fürtöt használ, vegye figyelembe, hogy legfeljebb 10 Event Hubs-névtér érhető el.

    Az Event Hubs-azonosító lekéréséhez lépjen a Azure Event Hubs névtérlapjára a Azure Portal. A Tulajdonságok lapon másolja ki a szöveget az Azonosító területen.

  7. Válassza ki a streamelni kívánt eseményeket, majd válassza a Mentés lehetőséget.

A Azure Event Hubs eseményséma

Így néz ki a Azure Event Hubs eseményséma:

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

A Azure Event Hubs minden eseményközpont-üzenete tartalmaz egy rekordlistát. Minden rekord tartalmazza az esemény nevét, azt az időpontot, amikor a Defender vállalati verzió megkapta az eseményt, a bérlőt, amelyhez tartozik (csak a bérlőtől kap eseményeket), valamint az eseményTován JSON formátumban egy "properties" nevű tulajdonságban. A sémával kapcsolatos további információkért lásd: Proaktív veszélyforrás-keresés fejlett veszélyforrás-kereséssel Microsoft Defender XDR.

A streamelési API használata az Azure Storage-ral

Az Azure Storage használatához Azure-előfizetés szükséges. Mielőtt hozzákezdene, hozzon létre egy Storage-fiókot a bérlőben. Ezután jelentkezzen be az Azure-bérlőbe, és lépjen az ElőfizetésekAz előfizetés>erőforrás-szolgáltatói>>regisztráljon a Microsoft.insights szolgáltatásba.

Nyers adatstreamelés engedélyezése

  1. Nyissa meg a Microsoft Defender portált, és jelentkezzen be globális rendszergazdaként vagy biztonsági rendszergazdaként.

  2. Lépjen az Adatexportálási beállítások lapra a Microsoft Defender XDR.

  3. Válassza az Adatexportálási beállítások hozzáadása lehetőséget.

  4. Válasszon nevet az új beállításoknak.

  5. Válassza az Események továbbítása az Azure Storage-ba lehetőséget.

  6. Írja be a tárfiók erőforrás-azonosítóját. A tárfiók erőforrás-azonosítójának lekéréséhez lépjen a Tárfiók lapjára a Azure Portal. Ezután a Tulajdonságok lapon másolja ki a Tárfiók erőforrás-azonosítója területen található szöveget.

  7. Válassza ki a streamelni kívánt eseményeket, majd válassza a Mentés lehetőséget.

Az Azure Storage-fiók eseményséma

Minden eseménytípushoz létrejön egy blobtároló. A blobok egyes sorainak sémája a következő JSON-fájl:

{
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

Minden blob több sort tartalmaz. Minden sor tartalmazza az esemény nevét, azt az időpontot, amikor a Defender vállalati verzió megkapta az eseményt, a bérlőt, amelyhez tartozik (csak a bérlőtől kapja meg az eseményeket), valamint az esemény JSON formátumú tulajdonságait. A Végponthoz készült Microsoft Defender események sémájával kapcsolatos további információkért lásd: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel Microsoft Defender XDR.

Lásd még