Az Event Hubs konfigurálása
Érintett szolgáltatás:
Megjegyzés:
Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.
Megtudhatja, hogyan konfigurálhatja az Event Hubsot úgy, hogy Microsoft Defender XDR eseményeit betölthesse.
A szükséges erőforrás-szolgáltató beállítása az Event Hubs-előfizetésben
- Jelentkezzen be az Azure portálra.
- Válassza az Előfizetések>{ Válassza ki azt az előfizetést, amelybe az eseményközpontok üzembe lesznek helyezve }>Erőforrás-szolgáltatók számára.
- Ellenőrizze, hogy a Microsoft.Insights szolgáltató regisztrálva van-e. Ellenkező esetben regisztrálja.
Microsoft Entra alkalmazásregisztráció beállítása
Megjegyzés:
Rendszergazdai szerepkörrel kell rendelkeznie, vagy Microsoft Entra ID úgy kell beállítania, hogy a nem rendszergazdák regisztrálhassanak alkalmazásokat. A szolgáltatásnév szerepkör hozzárendeléséhez tulajdonosi vagy felhasználói hozzáférés-rendszergazdai szerepkörrel is rendelkeznie kell. További információ: Microsoft Entra alkalmazás & szolgáltatásnév Létrehozás a portálon – Microsoft Identitásplatform | Microsoft Docs.
Létrehozás új regisztrációt (amely eredendően szolgáltatásnevet hoz létre) a Microsoft Entra ID>Alkalmazásregisztrációk>Új regisztrációban.
Töltse ki az űrlapot csak a névvel (nincs szükség átirányítási URI-ra).
titkos kód Létrehozás kattintson a Tanúsítványok & titkos kulcsok>Új titkos ügyfélkód elemre:
Ezt a titkos ügyfélkódot a Microsoft Graph API-k használják a regisztrált alkalmazás hitelesítéséhez.
Figyelmeztetés
Az ügyfél titkos kódját nem fogja tudni újból elérni, ezért mindenképpen mentse.
Event Hubs-névtér beállítása
Event Hubs-névtér Létrehozás:
Lépjen az Event Hub Add (Eseményközpont > hozzáadása ) területre, és válassza ki a várt terhelésnek megfelelő tarifacsomagot, átviteli egységeket és automatikus feltöltést (standard díjszabást igényel és a funkciók alatt). További információ: Díjszabás – Event Hubs | Microsoft Azure.
Megjegyzés:
Használhat egy meglévő eseményközpontot, de az átviteli sebesség és a skálázás a névtér szintjén van beállítva, ezért javasoljuk, hogy helyezzen el egy eseményközpontot a saját névterében.
Az Event Hubs-névtér erőforrás-azonosítójára is szüksége lesz. Lépjen a Azure Event Hubs névtérlap Tulajdonságok lapjára>. Másolja ki az Erőforrás-azonosító alatti szöveget, és jegyezze fel az alábbi Microsoft 365-konfigurációs szakaszban való használatra.
Engedélyek hozzáadása
Engedélyeket kell hozzáadnia a következő szerepkörökhöz az Event Hubs adatkezelésében részt vevő entitásokhoz:
- Közreműködő: A szerepkörhöz kapcsolódó engedélyek hozzáadódnak az entitáshoz, amely bejelentkezik a Microsoft Defender portálra.
- Olvasó és Azure Event Hub-adatfogadó: Az ezekhez a szerepkörökhöz kapcsolódó engedélyek hozzá vannak rendelve ahhoz az entitáshoz, amely már hozzárendelte egy szolgáltatásnév szerepkörét, és bejelentkezik az Microsoft Entra alkalmazásba.
A szerepkörök hozzáadásának ellenőrzéséhez hajtsa végre a következő lépést:
Lépjen az Eseményközpont-névtér>Access Control (IAM)>Hozzáadás és ellenőrzés területre a Szerepkör-hozzárendelések területen.
Az Event Hubs beállítása
1. lehetőség:
Létrehozhat egy eseményközpontot a névtéren belül, és az exportálni kívánt eseménytípusok (táblák) ebbe az egyetlen eseményközpontba lesznek beírva.
2. lehetőség:
Ahelyett, hogy az összes eseménytípust (táblát) egyetlen eseményközpontba exportálja, mindegyik táblát exportálhatja az Event Hubs-névtéren belüli különböző Eseményközpontokba (eseménytípusonként egy eseményközpontba).
Ebben a beállításban Microsoft Defender XDR Event Hubsot hoz létre.
Megjegyzés:
Ha olyan Eseményközpont-névteret használ, amely nem része egy Eseményközpont-fürtnek, akkor legfeljebb 10 eseménytípust (táblát) választhat az exportáláshoz az egyes megadott exportálási beállításokban, mivel az Azure-ban az eseményközpont-névtérenkénti 10 eseményközpontra vonatkozó korlátozás van érvényben.
Például:
Ha ezt a lehetőséget választja, ugorjon a Configure Microsoft Defender XDR to send email tables (Microsoft Defender XDR konfigurálása e-mail-táblák küldéséhez) szakaszra.
Létrehozás Event Hubsot a névtérben az Event Hub>+ Event Hub kiválasztásával.
A Partíciók száma párhuzamosság révén több átviteli sebességet tesz lehetővé, ezért javasoljuk, hogy növelje ezt a számot a várt terhelés alapján. Az alapértelmezett Üzenetmegőrzés és Rögzítés érték 1 és Ki érték ajánlott.
Ezekhez az Event Hubshoz (nem névtérhez) konfigurálnia kell egy megosztott hozzáférési szabályzatot a Küldés, figyelési jogcímek beállítással. Kattintson az Eseményközpont>megosztott hozzáférési szabályzatai>+ Hozzáadás elemre, majd adjon neki egy szabályzatnevet (máshol nem használatos), majd jelölje be a Küldés és figyelés jelölőnégyzetet.
E-mail-táblázatok küldésére Microsoft Defender XDR konfigurálása
Microsoft Defender XDR Email-táblák küldése a Splunkba az Event Hubson keresztül
Jelentkezzen be Microsoft Defender XDR egy olyan fiókkal, amely megfelel az alábbi szerepkörkövetelményeknek:
Közreműködői szerepkör az Event Hubs-névtér erőforrásszintjén vagy annál magasabb szinten ahhoz az Event Hubshoz, amelybe exportálni fog. Ezen engedély nélkül exportálási hibaüzenet jelenik meg, amikor megpróbálja menteni a beállításokat.
Globális Rendszergazda vagy biztonsági Rendszergazda szerepkör a Microsoft Defender XDR és az Azure-hoz kapcsolódó bérlőn.
Kattintson a Nyers adatexportálás > +Hozzáadás elemre.
Most a fent rögzített adatokat fogja használni.
Név: Ez az érték helyi, és a környezetben működő értéknek kell lennie.
Események továbbítása az eseményközpontba: Jelölje be ezt a jelölőnégyzetet.
Event-Hub erőforrás-azonosítója: Ez az érték az Event Hubs-névtér erőforrás-azonosítója, amelyet az Event Hubs beállításakor rögzített.
Eseményközpont neve: Ha létrehozott egy Event Hubs-központot az Event Hubs-névtérben, illessze be a fent rögzített Event Hubs-nevet.
Ha úgy dönt, hogy Microsoft Defender XDR eseménytípusok (táblák) szerint hozza létre az Eseményközpontokat, hagyja üresen ezt a mezőt.
Eseménytípusok: Válassza ki azokat a Speciális veszélyforrás-keresés táblákat, amelyeket továbbítani szeretne az Event Hubsnak, majd az egyéni alkalmazásnak. A riasztási táblák Microsoft Defender XDR, az Eszközök táblák Végponthoz készült Microsoft Defender (EDR) és Email táblák Office 365-höz készült Microsoft Defender származnak. Email események az összes Email tranzakciót rögzítik. Az URL-cím (biztonságos hivatkozások), a mellékletek (biztonságos mellékletek) és a kézbesítés utáni események (ZAP) is rögzítve vannak, és csatlakoztathatók a NetworkMessageId mező Email eseményeihez.
Kattintson a Küldés gombra.
Ellenőrizze, hogy az események exportálása az Event Hubsba történik-e
Egy alapszintű Speciális veszélyforrás-keresési lekérdezés futtatásával ellenőrizheti, hogy a rendszer elküldi-e az eseményeket az Event Hubsnak. Válassza a Hunting Advanced HuntingQuery (Speciális veszélyforrás-keresési> lekérdezés)> lehetőséget, és írja be a következő lekérdezést:
EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count
Ez a lekérdezés megmutatja, hogy hány e-mail érkezett az elmúlt órában az összes többi táblához csatlakoztatva. Azt is megmutatja, hogy lát-e olyan eseményeket, amelyek exportálhatók az eseményközpontokba. Ha ez a szám 0, akkor nem fog látni semmilyen adatot, amely az Event Hubsba kerül.
Miután ellenőrizte, hogy vannak exportálandó adatok, megtekintheti az Event Hubs oldalát, és ellenőrizheti, hogy az üzenetek bejövőek-e. Ez a folyamat akár egy órát is igénybe vehet.
- Az Azure-ban lépjen az Event Hubra> Kattintson a Névtér>eseményközpontra> Kattintson az eseményközpontra.
- Az Áttekintés területen görgessen le, és az Üzenetek diagramon a Bejövő üzenetek elemnek kell megjelennie. Ha nem látja az eredményeket, akkor nem jelennek meg az egyéni alkalmazás betöltendő üzenetei.
Kapcsolódó témakörök
A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: