Condividi tramite

Configurare Microsoft Defender XDR per trasmettere gli eventi di ricerca avanzata all'hub eventi di Azure

  • Articolo

Si applica a:

Nota

Provare le nuove API usando l'API di sicurezza di MS Graph. Per altre informazioni, vedere: Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn.

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Prerequisiti

Prima di configurare Microsoft Defender XDR per lo streaming dei dati in Hub eventi, verificare che siano soddisfatti i prerequisiti seguenti:

  1. Creare un hub eventi (per informazioni, vedere Configurare Hub eventi).

  2. Creazione di uno spazio dei nomi di Hub eventi (per informazioni, vedere Configurare lo spazio dei nomi di Hub eventi).

  3. Aggiungere le autorizzazioni all'entità che dispone dei privilegi di collaboratore in modo che questa entità possa esportare i dati nell'Hub eventi. Per altre informazioni sull'aggiunta di autorizzazioni, vedere Aggiungere autorizzazioni

Nota

L'API di streaming può essere integrata tramite Hub eventi o account di archiviazione di Azure.

Abilitare lo streaming di dati non elaborati

  1. Accedere almeno a Microsoft Defender portale come amministratore della sicurezza.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

  1. Passare alla pagina Delle impostazioni dell'API di streaming.

  2. Fare clic su Aggiungi.

  3. Scegliere un nome per le nuove impostazioni.

  4. Scegliere Inoltra eventi all'hub eventi di Azure.

  5. È possibile selezionare se esportare i dati dell'evento in un singolo hub eventi o esportare ogni tabella eventi in un hub eventi diverso nello spazio dei nomi di Hub eventi.

  6. Per esportare i dati dell'evento in un singolo hub eventi, immettere il nome dell'hub eventi e l'ID risorsa spazio dei nomi dell'hub eventi.

    Per ottenere l'ID risorsa spazio dei nomi dell'hub eventi, passare alla pagina dello spazio dei nomi Hub eventi di Azure nella scheda >Proprietà di Azure> copiare il testo in ID risorsa:

    ID risorsa dell'hub eventi

  7. Passare a Tipi di evento Microsoft Defender XDR supportati nell'API di streaming di eventi per esaminare lo stato di supporto dei tipi di evento nell'API di streaming di Microsoft 365.

  8. Scegliere gli eventi che si desidera trasmettere in streaming e fare clic su Salva.

Schema degli eventi nell'hub eventi di Azure

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

  • Ogni messaggio di Hub eventi in Hub eventi di Azure contiene un elenco di record.

  • Ogni record contiene il nome dell'evento, l'ora Microsoft Defender XDR ricevuto l'evento, il tenant a cui appartiene (si otterranno solo eventi dal tenant) e l'evento in formato JSON in una proprietà denominata "properties".

  • Per altre informazioni sullo schema degli eventi Microsoft Defender XDR, vedere Panoramica della ricerca avanzata.

  • In Ricerca avanzata la tabella DeviceInfo include una colonna denominata MachineGroup che contiene il gruppo del dispositivo. Qui ogni evento sarà decorato anche con questa colonna.

Mapping dei tipi di dati

Per ottenere i tipi di dati per le proprietà dell'evento, seguire questa procedura:

  1. Accedere a Microsoft Defender XDR e passare alla pagina Ricerca avanzata.

  2. Eseguire la query seguente per ottenere il mapping dei tipi di dati per ogni evento:

    {EventType}
| getschema
| project ColumnName, ColumnType

  • Ecco un esempio per l'evento Device Info:

    Una query di esempio per le informazioni sul dispositivo

Stima della capacità iniziale dell'hub eventi

La query di ricerca avanzata seguente consente di fornire una stima approssimativa della velocità effettiva del volume di dati e della capacità iniziale dell'hub eventi in base a eventi/sec e MB/sec stimati. È consigliabile eseguire la query durante i normali orari di ufficio in modo da acquisire la velocità effettiva "reale".

let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60 
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec

Per controllare i diversi limiti dell'hub eventi, esaminare Hub eventi di Azure quota e i limiti.

Monitoraggio delle risorse create

È possibile monitorare le risorse create dall'API di streaming usando Monitoraggio di Azure. Per altre informazioni, vedere Esportazione dei dati dell'area di lavoro Log Analytics in Monitoraggio di Azure.

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.