Event Hubs を構成する
適用対象:
注:
MS Graph セキュリティ API を使用して、新しい API をお試しください。 詳細情報: Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn。
イベント ハブを構成して、Microsoft Defender XDRからイベントを取り込む方法について説明します。
Event Hubs サブスクリプションで必要なリソース プロバイダーを設定する
- Azure portal にサインインし
- [ サブスクリプション>] を選択します。イベント ハブが }>リソース プロバイダーにデプロイされるサブスクリプションを選択します。
- Microsoft.Insights プロバイダーが登録されているかどうかを確認します。 それ以外の場合は、登録します。
アプリの登録Microsoft Entra設定する
注:
管理者以外のユーザーがアプリを登録できるようにするには、管理者ロールまたはMicrosoft Entra IDを設定する必要があります。 また、サービス プリンシパルにロールを割り当てるには、所有者またはユーザー アクセス管理者ロールも必要です。 詳細については、「Microsoft Entra アプリ & サービス プリンシパルをポータルでCreateする - Microsoft ID プラットフォーム |Microsoft Docs。
Microsoft Entra IDアプリの登録新しい登録に>新しい登録 (本質的にサービス プリンシパルを作成する) をCreate>します。
[名前] だけでフォームに入力します (リダイレクト URI は必要ありません)。
[証明書] & [シークレット] [新しいクライアント シークレット] をクリックして、シークレットを>Createします。
このクライアント シークレット値は、登録されているこのアプリケーションを認証するために Microsoft Graph API によって使用されます。
警告
クライアント シークレットに再度アクセスすることはできませんので、必ず保存してください。
Event Hubs 名前空間を設定する
Event Hubs 名前空間をCreateします。
Event Hub > Add に移動し、予想される負荷に適した価格レベル、スループット ユニット、自動インフレ (標準の価格と機能が必要) を選択します。 詳細については、「 価格 - Event Hubs |Microsoft Azure。
注:
既存のイベント ハブを使用できますが、スループットとスケーリングは名前空間レベルで設定されるため、イベント ハブを独自の名前空間に配置することをお勧めします。
この Event Hubs 名前空間のリソース ID も必要です。 [Azure Event Hubs名前空間] ページ > [プロパティ] に移動します。 [リソース ID] のテキストをコピーし、以下の Microsoft 365 構成セクションで使用するために記録します。
アクセス許可を追加する
Event Hubs データ管理に関連するエンティティに、次のロールへのアクセス許可を追加する必要があります。
- 共同作成者: このロールに関連するアクセス許可は、Microsoft Defender ポータルにログインするエンティティに追加されます。
- 閲覧者と Azure Event Hub データ レシーバー: これらのロールに関連するアクセス許可は、サービス プリンシパルのロールが既に割り当てられているエンティティに割り当てられ、Microsoft Entra アプリケーションにログインします。
これらのロールが確実に追加されるようにするには、次の手順を実行します。
[Event Hub Namespace>Access Control (IAM)>[ロールの割り当て] で [追加と確認] に移動します。
Event Hubs を設定する
オプション 1:
名前空間内に Event Hubs を作成でき、エクスポートするために選択 したすべての イベントの種類 (テーブル) がこの 1 つの Event Hub に書き込まれます。
オプション 2:
すべてのイベントの種類 (テーブル) を 1 つのイベント ハブにエクスポートする代わりに、各テーブルを Event Hubs 名前空間内の異なる Event Hubs (イベントの種類ごとに 1 つのイベント ハブ) にエクスポートできます。
このオプションでは、Microsoft Defender XDRによって Event Hubs が作成されます。
注:
Event Hub クラスターに含 まれていない Event Hub 名前空間を使用している場合は、定義した各エクスポート設定でエクスポートするイベントの種類 (テーブル) を最大 10 個まで選択できます。これは、Event Hub 名前空間ごとに 10 イベント ハブという Azure の制限があるためです。
以下に例を示します。
このオプションを選択した場合は、「Microsoft Defender XDRを構成して電子メール テーブルを送信する」セクションに進むことができます。
[Event Hub+ Event Hub] を選択して、名前空間内の Event Hubs> をCreateします。
パーティション数を使用すると、並列処理によってスループットが向上するため、予想される負荷に基づいてこの数を増やすことをお勧めします。 既定のメッセージ保持期間とキャプチャの値は 1 とオフにすることをお勧めします。
これらの Event Hubs (名前空間ではなく) では、共有アクセス ポリシーを送信、リッスン要求で構成する必要があります。 Event Hub>の [共有アクセス ポリシー>] + [追加] をクリックし、ポリシー名 (他の場所では使用されません) を指定し、[送信とリッスン] をチェックします。
電子メール テーブルを送信するようにMicrosoft Defender XDRを構成する
Event Hubs を使用Microsoft Defender XDR Splunk にEmailテーブルを送信するように設定する
次のすべてのロール要件を満たすアカウントでMicrosoft Defender XDRにサインインします。
[ Raw Data Export +Add]\(生データエクスポート > +追加\) をクリックします。
ここで、上記で記録したデータを使用します。
名前: この値はローカルであり、環境内で動作するものでなければなりません。
イベントをイベント ハブに転送する: このチェック ボックスをオンにします。
Event-Hub リソース ID: この値は、Event Hubs を設定したときに記録した Event Hubs 名前空間リソース ID です。
Event-Hub 名: Event Hubs 名前空間内に Event Hubs を作成した場合は、上記で記録した Event Hubs 名を貼り付けます。
Microsoft Defender XDRでイベントの種類 (テーブル) ごとに Event Hubs を作成できるようにする場合は、このフィールドを空のままにします。
イベントの種類: Event Hubs に転送してからカスタム アプリに転送する高度なハンティング テーブルを選択します。 アラート テーブルはMicrosoft Defender XDRから、デバイス テーブルは Microsoft Defender for Endpoint (EDR) から、EmailテーブルはMicrosoft Defender for Office 365から取得されます。 Email イベントは、すべてのEmailトランザクションを記録します。 URL (安全なリンク)、添付ファイル (安全な添付ファイル)、および配信後イベント (ZAP) も記録され、[NetworkMessageId] フィールドの [Email イベント] に参加できます。
[ 送信] をクリックしてください。
イベントが Event Hubs にエクスポートされていることを確認する
基本的な高度なハンティング クエリを実行することで、イベントが Event Hubs に送信されていることを確認できます。 [ ハンティング>の高度なハンティング>クエリ] を 選択し、次のクエリを入力します。
EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count
このクエリでは、他のすべてのテーブルで結合された過去 1 時間に受信したメールの数が表示されます。 また、イベント ハブにエクスポートできるイベントが表示される場合も表示されます。 この数に 0 が表示される場合、Event Hubs に送信されるデータは表示されません。
エクスポートするデータがあることを確認したら、[Event Hubs] ページを表示して、メッセージが受信されていることを確認できます。 このプロセスには最大 1 時間かかることがあります。
- Azure で、[イベント ハブ] [名前空間>] [イベント ハブ>] の [クリック] の [イベント ハブ>のクリック] に移動します。
- [ 概要] で下にスクロールし、[メッセージ] グラフに [受信メッセージ] が表示されます。 結果が表示されない場合、カスタム アプリが取り込むメッセージはありません。
関連項目
Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示