A Microsoft Defender XDR konfigurálása speciális veszélyforrás-keresési események streameléséhez az Azure Event Hubba
Érintett szolgáltatás:
Megjegyzés:
Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.
Fontos
A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
Előfeltételek
Mielőtt konfigurálja Microsoft Defender XDR az adatok Event Hubsba való streameléséhez, győződjön meg arról, hogy a következő előfeltételek teljesülnek:
eseményközpontok Létrehozás (további információ: Event Hubs beállítása).
Event Hubs-névtér létrehozása (további információ: Event Hubs-névtér beállítása).
Adjon engedélyeket ahhoz az entitáshoz, amely közreműködői jogosultságokkal rendelkezik, hogy az entitás adatokat exportálhat az Event Hubsba. További információ az engedélyek hozzáadásáról: Engedélyek hozzáadása
Megjegyzés:
A streamelési API az Event Hubson vagy az Azure Storage-fiókon keresztül integrálható.
Nyers adatstreamelés engedélyezése
Jelentkezzen be Microsoft Defender portálraglobális rendszergazdaként vagy biztonsági rendszergazdaként.
Lépjen a Streamelési API beállításainak lapjára.
Kattintson a Hozzáadás gombra.
Válasszon nevet az új beállításoknak.
Válassza az Események továbbítása az Azure Event Hubba lehetőséget.
Kiválaszthatja, hogy egyetlen eseményközpontba szeretné-e exportálni az eseményadatokat, vagy az egyes eseménytáblákat egy másik Event Hubs-eseményközpontba szeretné exportálni az Event Hubs-névtérben.
Ha egyetlen eseményközpontba szeretné exportálni az eseményadatokat, adja meg az eseményközpont nevét és az eseményközpont erőforrás-azonosítóját.
Az Eseményközpont erőforrás-azonosítójának lekéréséhez lépjen a Azure Event Hubs-névtér oldalára az Azure>Tulajdonságok lapján > másolja a szöveget az Erőforrás-azonosító területen:
A Microsoft 365 Streaming API-ban az eseménytípusok támogatási állapotának áttekintéséhez nyissa meg a Támogatott Microsoft Defender XDR eseménytípusokat az eseménystreamelési API-ban.
Válassza ki a streamelni kívánt eseményeket, majd kattintson a Mentés gombra.
Az Azure Event Hubban lévő események sémája
{
"records": [
{
"time": "<The time Microsoft Defender XDR received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
}
...
]
}
A Azure Event Hubs minden Event Hubs-üzenete tartalmazza a rekordok listáját.
Minden rekord tartalmazza az esemény nevét, az esemény Microsoft Defender XDR fogadásának időpontját, a bérlőt (csak a bérlőtől fog eseményeket lekérni), valamint az eseményt JSON formátumban egy "properties" nevű tulajdonságban.
A Microsoft Defender XDR események sémájáról a Speciális veszélyforrás-keresés áttekintése című témakörben talál további információt.
A Speciális veszélyforrás-keresés területen a DeviceInfo tábla egy MachineGroup nevű oszlopot tartalmaz, amely az eszközcsoportot tartalmazza. Itt minden eseményt ezzel az oszloppal díszítünk.
Adattípusok leképezése
Az eseménytulajdonságok adattípusainak lekéréséhez hajtsa végre az alábbi lépéseket:
Jelentkezzen be a Microsoft Defender XDR, és lépjen a Speciális veszélyforrás-keresés oldalra.
Futtassa a következő lekérdezést az egyes események adattípus-leképezésének lekéréséhez:
{EventType} | getschema | project ColumnName, ColumnType
Kezdeti Event Hub-kapacitás becslése
Az alábbi Speciális veszélyforrás-keresés lekérdezéssel hozzávetőleges becslést kaphat az adatmennyiség átviteli sebességéről és az eseményközpont kezdeti kapacitásáról események/s és becsült MB/s alapján. Javasoljuk, hogy a lekérdezést normál munkaidőben futtassa a "valós" átviteli sebesség rögzítése érdekében.
let bytes_ = 500;
union withsource=MDTables *
| where Timestamp > startofday(ago(6h))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60
| summarize avg(EPS), estimatedMBPerSec = (avg(EPS) * bytes_ ) / (1024*1024) by MDTables
| sort by toint(estimatedMBPerSec) desc
Létrehozott erőforrások monitorozása
A streamelési API által létrehozott erőforrásokat az Azure Monitor használatával figyelheti. További információ: Log Analytics-munkaterület adatexportálása az Azure Monitorban.
Kapcsolódó témakörök
A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn
Az eseménystreamelési API-ban támogatott Microsoft Defender XDR eseménytípusok
események Stream Microsoft Defender XDR az Azure Storage-fiókba
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: