Megosztás a következőn keresztül:

Az Event Hubs konfigurálása

  • Cikk

Érintett szolgáltatás:

Megjegyzés:

Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.

Megtudhatja, hogyan konfigurálhatja az Event Hubsot úgy, hogy az eseményeket a Microsoft Defender XDR-ből betölthesse.

A szükséges erőforrás-szolgáltató beállítása az Event Hubs-előfizetésben

  1. Jelentkezzen be az Azure portálra.
  2. Válassza az Előfizetések>{ Válassza ki azt az előfizetést, amelybe az eseményközpontok üzembe lesznek helyezve }>Erőforrás-szolgáltatók számára.
  3. Ellenőrizze, hogy a Microsoft.Insights szolgáltató regisztrálva van-e. Ellenkező esetben regisztrálja.

A szolgáltatók listája lap a Microsoft Azure Portalon

A Microsoft Entra alkalmazásregisztráció beállítása

Megjegyzés:

Rendszergazdai szerepkörrel kell rendelkeznie, vagy a Microsoft Entra-azonosítót úgy kell beállítani, hogy a nem rendszergazdák regisztrálhassanak alkalmazásokat. A szolgáltatásnév szerepkör hozzárendeléséhez tulajdonosi vagy felhasználói hozzáférés-rendszergazdai szerepkörrel is rendelkeznie kell. További információ: Microsoft Entra-alkalmazás létrehozása & szolgáltatásnév a portálon – Microsoft Identitásplatform | Microsoft Docs.

  1. Hozzon létre egy új regisztrációt (amely eredendően létrehoz egy szolgáltatásnevet) a Microsoft Entra ID>Alkalmazásregisztrációk>Új regisztrációban.

  2. Töltse ki az űrlapot csak a névvel (nincs szükség átirányítási URI-ra).

    Az alkalmazásnév megjelenítési szakasza a Microsoft Azure Portalon

    A Microsoft Azure Portal Áttekintési információk szakasza

  3. Hozzon létre egy titkos kódot a Tanúsítványok & titkos> kódokÚj titkos ügyfélkód elemre kattintva:

    A Microsoft Azure Portal Titkos ügyfélkód szakasza

Ezt a titkos ügyfélkódot a Microsoft Graph API-k használják a regisztrált alkalmazás hitelesítéséhez.

Figyelmeztetés

Az ügyfél titkos kódját nem fogja tudni újból elérni, ezért mindenképpen mentse.

Event Hubs-névtér beállítása

  1. Event Hubs-névtér létrehozása:

    Lépjen az Event Hub Add (Eseményközpont > hozzáadása ) területre, és válassza ki a várt terhelésnek megfelelő tarifacsomagot, átviteli egységeket és automatikus feltöltést (standard díjszabást igényel és a funkciók alatt). További információ: Díjszabás – Event Hubs | Microsoft Azure.

    Megjegyzés:

    Használhat egy meglévő eseményközpontot, de az átviteli sebesség és a skálázás a névtér szintjén van beállítva, ezért javasoljuk, hogy helyezzen el egy eseményközpontot a saját névterében.

    A Microsoft Azure Portal Event Hubs szakasza

  2. Az Event Hubs-névtér erőforrás-azonosítójára is szüksége lesz. Lépjen az Azure Event Hubs-névtér Tulajdonságok lapjára > . Másolja ki az Erőforrás-azonosító alatti szöveget, és jegyezze fel az alábbi Microsoft 365-konfigurációs szakaszban való használatra.

    Az event hubs properties (Eseményközpontok tulajdonságai) szakasz a Microsoft Azure Portalon

Engedélyek hozzáadása

Engedélyeket kell hozzáadnia a következő szerepkörökhöz az Event Hubs adatkezelésében részt vevő entitásokhoz:

  • Közreműködő: A szerepkörhöz kapcsolódó engedélyek hozzáadódnak a Microsoft Defender portálra bejelentkező entitáshoz.
  • Olvasó és Azure Event Hub-adatfogadó: Az ezekhez a szerepkörökhöz kapcsolódó engedélyek hozzá vannak rendelve ahhoz az entitáshoz, amely már hozzárendelte egy szolgáltatásnév szerepkörét, és bejelentkezik a Microsoft Entra alkalmazásba.

A szerepkörök hozzáadásának ellenőrzéséhez hajtsa végre a következő lépést:

Lépjen az Event Hub-névtér>hozzáférés-vezérlése (IAM)>Hozzáadás és ellenőrzés területre a Szerepkör-hozzárendelések területen.

Alkalmazásregisztrációs szolgáltatásnév szakasz a Microsoft Azure Portalon

Az Event Hubs beállítása

1. lehetőség:

Létrehozhat egy eseményközpontot a névtéren belül, és az exportálni kívánt eseménytípusok (táblák) ebbe az egyetlen eseményközpontba lesznek beírva.

2. lehetőség:

Ahelyett, hogy az összes eseménytípust (táblát) egyetlen eseményközpontba exportálja, mindegyik táblát exportálhatja az Event Hubs-névtéren belüli különböző Eseményközpontokba (eseménytípusonként egy eseményközpontba).

Ebben a beállításban a Microsoft Defender XDR event hubokat hoz létre Önnek.

Megjegyzés:

Ha olyan Eseményközpont-névteret használ, amely nem része egy Eseményközpont-fürtnek, akkor legfeljebb 10 eseménytípust (táblát) választhat az exportáláshoz az egyes megadott exportálási beállításokban, mivel az Azure-ban az eseményközpont-névtérenkénti 10 eseményközpontra vonatkozó korlátozás van érvényben.

Például:

Eseményközpontok szakasz a Microsoft Azure Portalon

Ha ezt a lehetőséget választja, továbbléphet a Configure Microsoft Defender XDR to send email tables (A Microsoft Defender XDR konfigurálása e-mail-táblák küldésére) szakaszra .

Event Hubs létrehozása a névtérben az Event Hub>+ Event Hub kiválasztásával.

A Partíciók száma párhuzamosság révén több átviteli sebességet tesz lehetővé, ezért javasoljuk, hogy növelje ezt a számot a várt terhelés alapján. Az alapértelmezett Üzenetmegőrzés és Rögzítés érték 1 és Ki érték ajánlott.

Eseményközpontok létrehozási szakasza a Microsoft Azure Portalon

Ezekhez az Event Hubshoz (nem névtérhez) konfigurálnia kell egy megosztott hozzáférési szabályzatot a Küldés, figyelési jogcímek beállítással. Kattintson az Eseményközpont>megosztott hozzáférési szabályzatai>+ Hozzáadás elemre, majd adjon neki egy szabályzatnevet (máshol nem használatos), majd jelölje be a Küldés és figyelés jelölőnégyzetet.

A Megosztott hozzáférési szabályzatok lap a Microsoft Azure Portalon

A Microsoft Defender XDR konfigurálása e-mail-táblák küldésére

A Microsoft Defender XDR e-mail-táblák küldésének beállítása a Splunkba az Event Hubson keresztül

  1. Jelentkezzen be a Microsoft Defender XDR-be egy olyan fiókkal, amely megfelel az alábbi szerepkörkövetelményeknek:

    • Közreműködői szerepkör az Event Hubs-névtér erőforrásszintjén vagy annál magasabb szinten ahhoz az Event Hubshoz, amelybe exportálni fog. Ezen engedély nélkül exportálási hibaüzenet jelenik meg, amikor megpróbálja menteni a beállításokat.

    • Biztonsági rendszergazdai szerepkör a Microsoft Defender XDR-hez és az Azure-hoz kapcsolódó bérlőn.

      A Microsoft Defender portál Beállítások lapja

  2. Kattintson a Nyers adatexportálás > +Hozzáadás elemre.

    Most a fent rögzített adatokat fogja használni.

    Név: Ez az érték helyi, és a környezetben működő értéknek kell lennie.

    Események továbbítása az eseményközpontba: Jelölje be ezt a jelölőnégyzetet.

    Event-Hub erőforrás-azonosítója: Ez az érték az Event Hubs-névtér erőforrás-azonosítója, amelyet az Event Hubs beállításakor rögzített.

    Eseményközpont neve: Ha létrehozott egy Event Hubs-központot az Event Hubs-névtérben, illessze be a fent rögzített Event Hubs-nevet.

    Ha engedélyezi, hogy a Microsoft Defender XDR eseményközpontokat hozzon létre eseménytípusok (táblák) szerint, hagyja üresen ezt a mezőt.

    Eseménytípusok: Válassza ki azokat a Speciális veszélyforrás-keresés táblákat, amelyeket továbbítani szeretne az Event Hubsnak, majd az egyéni alkalmazásnak. A riasztási táblák a Microsoft Defender XDR-ből származnak, az Eszközök táblák a Végponthoz készült Microsoft Defenderből (EDR), az e-mail-táblák pedig az Office 365-höz készült Microsoft Defenderből származnak. Az e-mail-események az összes e-mail-tranzakciót rögzítik. Az URL-cím (biztonságos hivatkozások), a mellékletek (biztonságos mellékletek) és a kézbesítés utáni események (ZAP) is rögzítve vannak, és a NetworkMessageId mező e-mailes eseményeihez csatlakoztathatók.

    A Streamelési API beállításainak lapja a Microsoft Azure Portalon

  3. Kattintson a Küldés gombra.

Ellenőrizze, hogy az események exportálása az Event Hubsba történik-e

Egy alapszintű Speciális veszélyforrás-keresési lekérdezés futtatásával ellenőrizheti, hogy a rendszer elküldi-e az eseményeket az Event Hubsnak. Válassza a Hunting Advanced HuntingQuery (Speciális veszélyforrás-keresési> lekérdezés)> lehetőséget, és írja be a következő lekérdezést:

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

Ez a lekérdezés megmutatja, hogy hány e-mail érkezett az elmúlt órában az összes többi táblához csatlakoztatva. Azt is megmutatja, hogy lát-e olyan eseményeket, amelyek exportálhatók az eseményközpontokba. Ha ez a szám 0, akkor nem fog látni semmilyen adatot, amely az Event Hubsba kerül.

A Speciális veszélyforrás-keresés lap a Microsoft Azure Portalon

Miután ellenőrizte, hogy vannak exportálandó adatok, megtekintheti az Event Hubs oldalát, és ellenőrizheti, hogy az üzenetek bejövőek-e. Ez a folyamat akár egy órát is igénybe vehet.

  1. Az Azure-ban lépjen az Event Hubra> Kattintson a Névtér>eseményközpontra> Kattintson az eseményközpontra.
  2. Az Áttekintés területen görgessen le, és az Üzenetek diagramon a Bejövő üzenetek elemnek kell megjelennie. Ha nem látja az eredményeket, akkor nem jelennek meg az egyéni alkalmazás betöltendő üzenetei.

A Microsoft 365 Azure Portal Áttekintés lapja

A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.