Megosztás a következőn keresztül:

Az Event Hubs konfigurálása

  • Cikk

Érintett szolgáltatás:

Megjegyzés:

Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.

Megtudhatja, hogyan konfigurálhatja az Event Hubsot úgy, hogy Microsoft Defender XDR eseményeit betölthesse.

A szükséges erőforrás-szolgáltató beállítása az Event Hubs-előfizetésben

  1. Jelentkezzen be az Azure portálra.
  2. Válassza az Előfizetések>{ Válassza ki azt az előfizetést, amelybe az eseményközpontok üzembe lesznek helyezve }>Erőforrás-szolgáltatók számára.
  3. Ellenőrizze, hogy a Microsoft.Insights szolgáltató regisztrálva van-e. Ellenkező esetben regisztrálja.

A Szolgáltatók listája lap a Microsoft Azure Portal

Microsoft Entra alkalmazásregisztráció beállítása

Megjegyzés:

Rendszergazdai szerepkörrel kell rendelkeznie, vagy Microsoft Entra ID úgy kell beállítania, hogy a nem rendszergazdák regisztrálhassanak alkalmazásokat. A szolgáltatásnév szerepkör hozzárendeléséhez tulajdonosi vagy felhasználói hozzáférés-rendszergazdai szerepkörrel is rendelkeznie kell. További információ: Microsoft Entra alkalmazás & szolgáltatásnév Létrehozás a portálon – Microsoft Identitásplatform | Microsoft Docs.

  1. Létrehozás új regisztrációt (amely eredendően szolgáltatásnevet hoz létre) a Microsoft Entra ID>Alkalmazásregisztrációk>Új regisztrációban.

  2. Töltse ki az űrlapot csak a névvel (nincs szükség átirányítási URI-ra).

    Az alkalmazásnév megjelenítési szakasza a Microsoft Azure Portal

    A Microsoft Azure Portal Áttekintési információk szakasza

  3. titkos kód Létrehozás kattintson a Tanúsítványok & titkos kulcsok>Új titkos ügyfélkód elemre:

    A Microsoft Azure Portal Titkos ügyfélkód szakasza

Ezt a titkos ügyfélkódot a Microsoft Graph API-k használják a regisztrált alkalmazás hitelesítéséhez.

Figyelmeztetés

Az ügyfél titkos kódját nem fogja tudni újból elérni, ezért mindenképpen mentse.

Event Hubs-névtér beállítása

  1. Event Hubs-névtér Létrehozás:

    Lépjen az Event Hub Add (Eseményközpont > hozzáadása ) területre, és válassza ki a várt terhelésnek megfelelő tarifacsomagot, átviteli egységeket és automatikus feltöltést (standard díjszabást igényel és a funkciók alatt). További információ: Díjszabás – Event Hubs | Microsoft Azure.

    Megjegyzés:

    Használhat egy meglévő eseményközpontot, de az átviteli sebesség és a skálázás a névtér szintjén van beállítva, ezért javasoljuk, hogy helyezzen el egy eseményközpontot a saját névterében.

    A Microsoft Azure Portal event hubs szakasza

  2. Az Event Hubs-névtér erőforrás-azonosítójára is szüksége lesz. Lépjen a Azure Event Hubs névtérlap Tulajdonságok lapjára>. Másolja ki az Erőforrás-azonosító alatti szöveget, és jegyezze fel az alábbi Microsoft 365-konfigurációs szakaszban való használatra.

    Az event hubs properties (Eseményközpontok tulajdonságai) szakasz a Microsoft Azure Portal

Engedélyek hozzáadása

Engedélyeket kell hozzáadnia a következő szerepkörökhöz az Event Hubs adatkezelésében részt vevő entitásokhoz:

  • Közreműködő: A szerepkörhöz kapcsolódó engedélyek hozzáadódnak az entitáshoz, amely bejelentkezik a Microsoft Defender portálra.
  • Olvasó és Azure Event Hub-adatfogadó: Az ezekhez a szerepkörökhöz kapcsolódó engedélyek hozzá vannak rendelve ahhoz az entitáshoz, amely már hozzárendelte egy szolgáltatásnév szerepkörét, és bejelentkezik az Microsoft Entra alkalmazásba.

A szerepkörök hozzáadásának ellenőrzéséhez hajtsa végre a következő lépést:

Lépjen az Eseményközpont-névtér>Access Control (IAM)>Hozzáadás és ellenőrzés területre a Szerepkör-hozzárendelések területen.

Alkalmazásregisztrációs szolgáltatásnév szakasz a Microsoft Azure Portal

Az Event Hubs beállítása

1. lehetőség:

Létrehozhat egy eseményközpontot a névtéren belül, és az exportálni kívánt eseménytípusok (táblák) ebbe az egyetlen eseményközpontba lesznek beírva.

2. lehetőség:

Ahelyett, hogy az összes eseménytípust (táblát) egyetlen eseményközpontba exportálja, mindegyik táblát exportálhatja az Event Hubs-névtéren belüli különböző Eseményközpontokba (eseménytípusonként egy eseményközpontba).

Ebben a beállításban Microsoft Defender XDR Event Hubsot hoz létre.

Megjegyzés:

Ha olyan Eseményközpont-névteret használ, amely nem része egy Eseményközpont-fürtnek, akkor legfeljebb 10 eseménytípust (táblát) választhat az exportáláshoz az egyes megadott exportálási beállításokban, mivel az Azure-ban az eseményközpont-névtérenkénti 10 eseményközpontra vonatkozó korlátozás van érvényben.

Például:

Eseményközpontok szakasz a Microsoft Azure Portal

Ha ezt a lehetőséget választja, ugorjon a Configure Microsoft Defender XDR to send email tables (Microsoft Defender XDR konfigurálása e-mail-táblák küldéséhez) szakaszra.

Létrehozás Event Hubsot a névtérben az Event Hub>+ Event Hub kiválasztásával.

A Partíciók száma párhuzamosság révén több átviteli sebességet tesz lehetővé, ezért javasoljuk, hogy növelje ezt a számot a várt terhelés alapján. Az alapértelmezett Üzenetmegőrzés és Rögzítés érték 1 és Ki érték ajánlott.

Event Hubs-létrehozási szakasz a Microsoft Azure Portal

Ezekhez az Event Hubshoz (nem névtérhez) konfigurálnia kell egy megosztott hozzáférési szabályzatot a Küldés, figyelési jogcímek beállítással. Kattintson az Eseményközpont>megosztott hozzáférési szabályzatai>+ Hozzáadás elemre, majd adjon neki egy szabályzatnevet (máshol nem használatos), majd jelölje be a Küldés és figyelés jelölőnégyzetet.

A Microsoft Azure Portal Megosztott hozzáférési szabályzatok lapja

E-mail-táblázatok küldésére Microsoft Defender XDR konfigurálása

Microsoft Defender XDR Email-táblák küldése a Splunkba az Event Hubson keresztül

  1. Jelentkezzen be Microsoft Defender XDR egy olyan fiókkal, amely megfelel az alábbi szerepkörkövetelményeknek:

    • Közreműködői szerepkör az Event Hubs-névtér erőforrásszintjén vagy annál magasabb szinten ahhoz az Event Hubshoz, amelybe exportálni fog. Ezen engedély nélkül exportálási hibaüzenet jelenik meg, amikor megpróbálja menteni a beállításokat.

    • Globális Rendszergazda vagy biztonsági Rendszergazda szerepkör a Microsoft Defender XDR és az Azure-hoz kapcsolódó bérlőn.

      A Microsoft Defender portál Beállítások lapja

  2. Kattintson a Nyers adatexportálás > +Hozzáadás elemre.

    Most a fent rögzített adatokat fogja használni.

    Név: Ez az érték helyi, és a környezetben működő értéknek kell lennie.

    Események továbbítása az eseményközpontba: Jelölje be ezt a jelölőnégyzetet.

    Event-Hub erőforrás-azonosítója: Ez az érték az Event Hubs-névtér erőforrás-azonosítója, amelyet az Event Hubs beállításakor rögzített.

    Eseményközpont neve: Ha létrehozott egy Event Hubs-központot az Event Hubs-névtérben, illessze be a fent rögzített Event Hubs-nevet.

    Ha úgy dönt, hogy Microsoft Defender XDR eseménytípusok (táblák) szerint hozza létre az Eseményközpontokat, hagyja üresen ezt a mezőt.

    Eseménytípusok: Válassza ki azokat a Speciális veszélyforrás-keresés táblákat, amelyeket továbbítani szeretne az Event Hubsnak, majd az egyéni alkalmazásnak. A riasztási táblák Microsoft Defender XDR, az Eszközök táblák Végponthoz készült Microsoft Defender (EDR) és Email táblák Office 365-höz készült Microsoft Defender származnak. Email események az összes Email tranzakciót rögzítik. Az URL-cím (biztonságos hivatkozások), a mellékletek (biztonságos mellékletek) és a kézbesítés utáni események (ZAP) is rögzítve vannak, és csatlakoztathatók a NetworkMessageId mező Email eseményeihez.

    A StreamELÉSI API beállításainak lapja a Microsoft Azure Portal

  3. Kattintson a Küldés gombra.

Ellenőrizze, hogy az események exportálása az Event Hubsba történik-e

Egy alapszintű Speciális veszélyforrás-keresési lekérdezés futtatásával ellenőrizheti, hogy a rendszer elküldi-e az eseményeket az Event Hubsnak. Válassza a Hunting Advanced HuntingQuery (Speciális veszélyforrás-keresési> lekérdezés)> lehetőséget, és írja be a következő lekérdezést:

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

Ez a lekérdezés megmutatja, hogy hány e-mail érkezett az elmúlt órában az összes többi táblához csatlakoztatva. Azt is megmutatja, hogy lát-e olyan eseményeket, amelyek exportálhatók az eseményközpontokba. Ha ez a szám 0, akkor nem fog látni semmilyen adatot, amely az Event Hubsba kerül.

A Speciális veszélyforrás-keresés lap a Microsoft Azure Portal

Miután ellenőrizte, hogy vannak exportálandó adatok, megtekintheti az Event Hubs oldalát, és ellenőrizheti, hogy az üzenetek bejövőek-e. Ez a folyamat akár egy órát is igénybe vehet.

  1. Az Azure-ban lépjen az Event Hubra> Kattintson a Névtér>eseményközpontra> Kattintson az eseményközpontra.
  2. Az Áttekintés területen görgessen le, és az Üzenetek diagramon a Bejövő üzenetek elemnek kell megjelennie. Ha nem látja az eredményeket, akkor nem jelennek meg az egyéni alkalmazás betöltendő üzenetei.

A Microsoft 365 áttekintési lapja Azure Portal

A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.