A Microsoft Defender XDR konfigurálása speciális veszélyforrás-keresési események streameléséhez az Azure Event Hubba

Érintett szolgáltatás:

• Microsoft Defender XDR

Megjegyzés:

Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.

Fontos

A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

Előfeltételek

Mielőtt konfigurálja Microsoft Defender XDR az adatok Event Hubsba való streameléséhez, győződjön meg arról, hogy a következő előfeltételek teljesülnek:

1. eseményközpontok Létrehozás (további információ: Event Hubs beállítása).

2. Event Hubs-névtér létrehozása (további információ: Event Hubs-névtér beállítása).

3. Adjon engedélyeket ahhoz az entitáshoz, amely közreműködői jogosultságokkal rendelkezik, hogy az entitás adatokat exportálhat az Event Hubsba. További információ az engedélyek hozzáadásáról: Engedélyek hozzáadása

Megjegyzés:

A streamelési API az Event Hubson vagy az Azure Storage-fiókon keresztül integrálható.

Nyers adatstreamelés engedélyezése

1. Jelentkezzen be Microsoft Defender portálraglobális rendszergazdaként vagy biztonsági rendszergazdaként.

2. Lépjen a Streamelési API beállításainak lapjára.

3. Kattintson a Hozzáadás gombra.

4. Válasszon nevet az új beállításoknak.

5. Válassza az Események továbbítása az Azure Event Hubba lehetőséget.

6. Kiválaszthatja, hogy egyetlen eseményközpontba szeretné-e exportálni az eseményadatokat, vagy az egyes eseménytáblákat egy másik Event Hubs-eseményközpontba szeretné exportálni az Event Hubs-névtérben.

7. Ha egyetlen eseményközpontba szeretné exportálni az eseményadatokat, adja meg az eseményközpont nevét és az eseményközpont erőforrás-azonosítóját.

   Az Eseményközpont erőforrás-azonosítójának lekéréséhez lépjen a Azure Event Hubs-névtér oldalára az Azure>Tulajdonságok lapján > másolja a szöveget az Erőforrás-azonosító területen:

   

8. A Microsoft 365 Streaming API-ban az eseménytípusok támogatási állapotának áttekintéséhez nyissa meg a Támogatott Microsoft Defender XDR eseménytípusokat az eseménystreamelési API-ban.

9. Válassza ki a streamelni kívánt eseményeket, majd kattintson a Mentés gombra.

Az Azure Event Hubban lévő események sémája

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

• A Azure Event Hubs minden Event Hubs-üzenete tartalmazza a rekordok listáját.

• Minden rekord tartalmazza az esemény nevét, az esemény Microsoft Defender XDR fogadásának időpontját, a bérlőt (csak a bérlőtől fog eseményeket lekérni), valamint az eseményt JSON formátumban egy "properties" nevű tulajdonságban.

• A Microsoft Defender XDR események sémájáról a Speciális veszélyforrás-keresés áttekintése című témakörben talál további információt.

• A Speciális veszélyforrás-keresés területen a DeviceInfo tábla egy MachineGroup nevű oszlopot tartalmaz, amely az eszközcsoportot tartalmazza. Itt minden eseményt ezzel az oszloppal díszítünk.

Adattípusok leképezése

Az eseménytulajdonságok adattípusainak lekéréséhez hajtsa végre az alábbi lépéseket:

1. Jelentkezzen be a Microsoft Defender XDR, és lépjen a Speciális veszélyforrás-keresés oldalra.

2. Futtassa a következő lekérdezést az egyes események adattípus-leképezésének lekéréséhez:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Íme egy példa az Eszközadatok eseményre:

  

Kezdeti Event Hub-kapacitás becslése

Az alábbi Speciális veszélyforrás-keresés lekérdezéssel hozzávetőleges becslést kaphat az adatmennyiség átviteli sebességéről és az eseményközpont kezdeti kapacitásáról események/s és becsült MB/s alapján. Javasoljuk, hogy a lekérdezést normál munkaidőben futtassa a "valós" átviteli sebesség rögzítése érdekében.

let bytes_ = 500;
union withsource=MDTables *
| where Timestamp > startofday(ago(6h))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60
| summarize avg(EPS), estimatedMBPerSec = (avg(EPS) * bytes_ ) / (1024*1024) by MDTables
| sort by toint(estimatedMBPerSec) desc

Létrehozott erőforrások monitorozása

A streamelési API által létrehozott erőforrásokat az Azure Monitor használatával figyelheti. További információ: Log Analytics-munkaterület adatexportálása az Azure Monitorban.

Kapcsolódó témakörök

• A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn

• A speciális veszélyforrás-keresés áttekintése

• streamelési API Microsoft Defender XDR

• Az eseménystreamelési API-ban támogatott Microsoft Defender XDR eseménytípusok

• események Stream Microsoft Defender XDR az Azure Storage-fiókba

• Azure Event Hubs dokumentációja

• Csatlakozási problémák elhárítása – Azure Event Hubs

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.