Usare l'API di streaming con Microsoft Defender for Business
Se l'organizzazione dispone di un Centro operazioni di sicurezza (SOC), la possibilità di usare l'API di streaming Microsoft Defender per endpoint è disponibile per Defender for Business e Microsoft 365 Business Premium. L'API consente di trasmettere dati, ad esempio file del dispositivo, registro, rete, eventi di accesso e altro ancora a uno dei servizi seguenti:
- Microsoft Sentinel, una soluzione scalabile nativa del cloud che offre funzionalità di gestione delle informazioni di sicurezza e degli eventi (SIEM) e di orchestrazione della sicurezza, automazione e risposta (SOAR).
- Hub eventi di Azure, una moderna piattaforma di streaming di Big Data e un servizio di inserimento eventi che può integrarsi facilmente con altri servizi di Azure e Microsoft, ad esempio Stream Analytics, Power BI e Griglia di eventi, insieme a servizi esterni come Apache Spark.
- Archiviazione di Azure, la soluzione di archiviazione cloud di Microsoft per scenari di archiviazione dati moderni, con archiviazione a disponibilità elevata, scalabile in modo massiccio, durevole e sicura per un'ampia gamma di oggetti dati nel cloud.
Con l'API di streaming è possibile usare la ricerca avanzata e il rilevamento degli attacchi con Defender for Business e Microsoft 365 Business Premium. L'API di streaming consente ai CSC di visualizzare più dati sui dispositivi, comprendere meglio come si è verificato un attacco e adottare misure per migliorare la sicurezza dei dispositivi.
Usare l'API di streaming con Microsoft Sentinel
Nota
Microsoft Sentinel è un servizio a pagamento. Sono disponibili diversi piani e opzioni di prezzo. Vedere Prezzi di Microsoft Sentinel.
Assicurarsi che Defender per le aziende sia configurato e configurato e che sia già stato eseguito l'onboarding dei dispositivi. Vedere Configurare e configurare Microsoft Defender for Business.
Create un'area di lavoro Log Analytics che verrà usata con Sentinel. Vedere Create un'area di lavoro Log Analytics.
Eseguire l'onboarding in Microsoft Sentinel. Vedere Avvio rapido: Eseguire l'onboarding di Microsoft Sentinel.
Abilitare il connettore Microsoft Defender XDR. Vedere Connettere dati da Microsoft Defender XDR a Microsoft Sentinel.
Usare l'API di streaming con Hub eventi
Nota
Hub eventi di Azure richiede una sottoscrizione di Azure. Prima di iniziare, assicurarsi di creare un hub eventi nel tenant. Accedere quindi alla portale di Azure, passare a Sottoscrizioni> Iprovider di> risorse dellasottoscrizione>Si registrano a Microsoft.insights.
Passare al portale di Microsoft Defender e accedere come amministratore globale o amministratore della sicurezza.
Passare alla pagina Impostazioni di esportazione dati.
Selezionare Aggiungi impostazioni di esportazione dati.
Scegliere un nome per le nuove impostazioni.
Scegliere Inoltra eventi da Hub eventi di Azure.
Digitare il nome di Hub eventi e l'ID hub eventi.
Nota
Lasciando vuoto il campo Nome hub eventi, viene creato un hub eventi per ogni categoria nello spazio dei nomi selezionato. Se non si usa un cluster hub eventi dedicato, tenere presente che esiste un limite di 10 spazi dei nomi di Hub eventi.
Per ottenere l'ID hub eventi, passare alla pagina dello spazio dei nomi Hub eventi di Azure nel portale di Azure. Nella scheda Proprietà copiare il testo in ID.
Scegliere gli eventi che si desidera trasmettere in streaming e quindi selezionare Salva.
Schema degli eventi in Hub eventi di Azure
Ecco l'aspetto dello schema degli eventi in Hub eventi di Azure:
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Ogni messaggio dell'hub eventi in Hub eventi di Azure contiene un elenco di record. Ogni record contiene il nome dell'evento, l'ora in cui Defender per le aziende ha ricevuto l'evento, il tenant a cui appartiene (solo dal tenant) e l'evento in formato JSON in una proprietà denominata "properties". Per altre informazioni sullo schema, vedere Ricerca proattiva delle minacce con ricerca avanzata in Microsoft Defender XDR.
Usare l'API di streaming con Archiviazione di Azure
Archiviazione di Azure richiede una sottoscrizione di Azure. Prima di iniziare, assicurarsi di creare un account di archiviazione nel tenant. Accedere quindi al tenant di Azure e passare a Sottoscrizioni> Iprovider di> risorse dellasottoscrizione>si registrano a Microsoft.insights.
Abilitare lo streaming di dati non elaborati
Passare al portale di Microsoft Defender e accedere come amministratore globale o amministratore della sicurezza.
Passare alla pagina Impostazioni di esportazione dati in Microsoft Defender XDR.
Selezionare Aggiungi impostazioni di esportazione dati.
Scegliere un nome per le nuove impostazioni.
Scegliere Inoltra eventi ad Archiviazione di Azure.
Digitare l'ID risorsa dell'account di archiviazione. Per ottenere l'ID risorsa dell'account di archiviazione, passare alla pagina Account di archiviazione nel portale di Azure. Quindi, nella scheda Proprietà copiare il testo in ID risorsa account di archiviazione.
Scegliere gli eventi che si desidera trasmettere in streaming e quindi selezionare Salva.
Schema degli eventi nell'account di archiviazione di Azure
Viene creato un contenitore BLOB per ogni tipo di evento. Lo schema di ogni riga in un BLOB è il file JSON seguente:
{
"time": "<The time WDATP received the event>"
"tenantId": "<Your tenant ID>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
Ogni BLOB contiene più righe. Ogni riga contiene il nome dell'evento, l'ora in cui Defender for Business ha ricevuto l'evento, il tenant a cui appartiene (si ottengono eventi solo dal tenant) e l'evento nelle proprietà di formato JSON. Per altre informazioni sullo schema degli eventi Microsoft Defender per endpoint, vedere Ricerca proattiva delle minacce con ricerca avanzata in Microsoft Defender XDR.
Vedere anche
- API di streaming dati non elaborati in Defender per endpoint