Configurare Microsoft Defender XDR per trasmettere gli eventi di ricerca avanzata all'hub eventi di Azure

Si applica a:

• Microsoft Defender XDR

Nota

Provare le nuove API usando l'API di sicurezza di MS Graph. Per altre informazioni, vedere: Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn.

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Prerequisiti

Prima di configurare Microsoft Defender XDR per lo streaming dei dati in Hub eventi, verificare che siano soddisfatti i prerequisiti seguenti:

1. Create un hub eventi (per informazioni, vedere Configurare Hub eventi).

2. Creazione di uno spazio dei nomi di Hub eventi (per informazioni, vedere Configurare lo spazio dei nomi di Hub eventi).

3. Aggiungere le autorizzazioni all'entità che dispone dei privilegi di collaboratore in modo che questa entità possa esportare i dati nell'Hub eventi. Per altre informazioni sull'aggiunta di autorizzazioni, vedere Aggiungere autorizzazioni

Nota

L'API di streaming può essere integrata tramite Hub eventi o account di archiviazione di Azure.

Abilitare lo streaming di dati non elaborati

1. Accedere a Microsoft Defender portale come amministratore globale o amministratore della sicurezza.

2. Passare alla pagina Delle impostazioni dell'API di streaming.

3. Fare clic su Aggiungi.

4. Scegliere un nome per le nuove impostazioni.

5. Scegliere Inoltra eventi all'hub eventi di Azure.

6. È possibile selezionare se esportare i dati dell'evento in un singolo hub eventi o esportare ogni tabella eventi in un hub eventi diverso nello spazio dei nomi di Hub eventi.

7. Per esportare i dati dell'evento in un singolo hub eventi, immettere il nome dell'hub eventi e l'ID risorsa dell'hub eventi.

   Per ottenere l'ID risorsa dell'hub eventi, passare alla pagina dello spazio dei nomi Hub eventi di Azure nella scheda >Proprietà di Azure> copiare il testo in ID risorsa:

   

8. Passare a Tipi di evento Microsoft Defender XDR supportati nell'API di streaming di eventi per esaminare lo stato di supporto dei tipi di evento nell'API di streaming di Microsoft 365.

9. Scegliere gli eventi che si desidera trasmettere in streaming e fare clic su Salva.

Schema degli eventi nell'hub eventi di Azure

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

• Ogni messaggio di Hub eventi in Hub eventi di Azure contiene un elenco di record.

• Ogni record contiene il nome dell'evento, l'ora Microsoft Defender XDR ricevuto l'evento, il tenant a cui appartiene (si otterranno solo eventi dal tenant) e l'evento in formato JSON in una proprietà denominata "properties".

• Per altre informazioni sullo schema degli eventi Microsoft Defender XDR, vedere Panoramica della ricerca avanzata.

• In Ricerca avanzata la tabella DeviceInfo include una colonna denominata MachineGroup che contiene il gruppo del dispositivo. Qui ogni evento sarà decorato anche con questa colonna.

Mapping dei tipi di dati

Per ottenere i tipi di dati per le proprietà dell'evento, seguire questa procedura:

1. Accedere a Microsoft Defender XDR e passare alla pagina Ricerca avanzata.

2. Eseguire la query seguente per ottenere il mapping dei tipi di dati per ogni evento:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Ecco un esempio per l'evento Device Info:

  

Stima della capacità iniziale dell'hub eventi

La query ricerca avanzata seguente consente di fornire una stima approssimativa della velocità effettiva del volume di dati e della capacità iniziale dell'hub eventi in base a eventi/sec e MB/sec stimati. È consigliabile eseguire la query durante i normali orari di ufficio in modo da acquisire la velocità effettiva "reale".

let bytes_ = 500;
union withsource=MDTables *
| where Timestamp > startofday(ago(6h))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60
| summarize avg(EPS), estimatedMBPerSec = (avg(EPS) * bytes_ ) / (1024*1024) by MDTables
| sort by toint(estimatedMBPerSec) desc

Monitoraggio delle risorse create

È possibile monitorare le risorse create dall'API di streaming usando Monitoraggio di Azure. Per altre informazioni, vedere Esportazione dei dati dell'area di lavoro Log Analytics in Monitoraggio di Azure.

Argomenti correlati

• Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn

• Panoramica della ricerca avanzata

• API di streaming Microsoft Defender XDR

• Tipi di evento Microsoft Defender XDR supportati nell'API di streaming di eventi

• Stream Microsoft Defender XDR eventi all'account di archiviazione di Azure

• documentazione Hub eventi di Azure

• Risolvere i problemi di connettività - Hub eventi di Azure

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.