次の方法で共有

Event Hubs を構成する

  • [アーティクル]

適用対象:

注:

MS Graph セキュリティ API を使用して、新しい API をお試しください。 詳細情報: Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn

イベント ハブを構成して、Microsoft Defender XDRからイベントを取り込む方法について説明します。

Event Hubs サブスクリプションで必要なリソース プロバイダーを設定する

  1. Azure portal にサインインし
  2. [ サブスクリプション>] を選択します。イベント ハブが }>リソース プロバイダーにデプロイされるサブスクリプションを選択します。
  3. Microsoft.Insights プロバイダーが登録されているかどうかを確認します。 それ以外の場合は、登録します。

Microsoft Azure portalの [サービス プロバイダーの一覧] ページ

アプリの登録Microsoft Entra設定する

注:

管理者以外のユーザーがアプリを登録できるようにするには、管理者ロールまたはMicrosoft Entra IDを設定する必要があります。 また、サービス プリンシパルにロールを割り当てるには、所有者またはユーザー アクセス管理者ロールも必要です。 詳細については、「Microsoft Entra アプリ & サービス プリンシパルをポータルでCreateする - Microsoft ID プラットフォーム |Microsoft Docs

  1. Microsoft Entra IDアプリの登録新しい登録に>新しい登録 (本質的にサービス プリンシパルを作成する) をCreate>します。

  2. [名前] だけでフォームに入力します (リダイレクト URI は必要ありません)。

    Microsoft Azure portalの [アプリケーション名の表示] セクション

    Microsoft Azure portalの [概要情報] セクション

  3. [証明書] & [シークレット] [新しいクライアント シークレット] をクリックして、シークレットを>Createします。

    Microsoft Azure portalの [クライアント シークレット] セクション

このクライアント シークレット値は、登録されているこのアプリケーションを認証するために Microsoft Graph API によって使用されます。

警告

クライアント シークレットに再度アクセスすることはできませんので、必ず保存してください

Event Hubs 名前空間を設定する

  1. Event Hubs 名前空間をCreateします。

    Event Hub > Add に移動し、予想される負荷に適した価格レベル、スループット ユニット、自動インフレ (標準の価格と機能が必要) を選択します。 詳細については、「 価格 - Event Hubs |Microsoft Azure

    注:

    既存のイベント ハブを使用できますが、スループットとスケーリングは名前空間レベルで設定されるため、イベント ハブを独自の名前空間に配置することをお勧めします。

    Microsoft Azure portalの [イベント ハブ] セクション

  2. この Event Hubs 名前空間のリソース ID も必要です。 [Azure Event Hubs名前空間] ページ > [プロパティ] に移動します。 [リソース ID] のテキストをコピーし、以下の Microsoft 365 構成セクションで使用するために記録します。

    Microsoft Azure portalの [イベント ハブのプロパティ] セクション

アクセス許可を追加する

Event Hubs データ管理に関連するエンティティに、次のロールへのアクセス許可を追加する必要があります。

  • 共同作成者: このロールに関連するアクセス許可は、Microsoft Defender ポータルにログインするエンティティに追加されます。
  • 閲覧者Azure Event Hub データ レシーバー: これらのロールに関連するアクセス許可は、サービス プリンシパルのロールが既に割り当てられているエンティティに割り当てられ、Microsoft Entra アプリケーションにログインします。

これらのロールが確実に追加されるようにするには、次の手順を実行します。

[Event Hub Namespace>Access Control (IAM)>[ロールの割り当て] で [追加と確認] に移動します。

Microsoft Azure portalのアプリケーション登録サービス プリンシパル セクション

Event Hubs を設定する

オプション 1:

名前空間内に Event Hubs を作成でき、エクスポートするために選択 したすべての イベントの種類 (テーブル) がこの 1 つの Event Hub に書き込まれます。

オプション 2:

すべてのイベントの種類 (テーブル) を 1 つのイベント ハブにエクスポートする代わりに、各テーブルを Event Hubs 名前空間内の異なる Event Hubs (イベントの種類ごとに 1 つのイベント ハブ) にエクスポートできます。

このオプションでは、Microsoft Defender XDRによって Event Hubs が作成されます。

注:

Event Hub クラスターに含 まれていない Event Hub 名前空間を使用している場合は、定義した各エクスポート設定でエクスポートするイベントの種類 (テーブル) を最大 10 個まで選択できます。これは、Event Hub 名前空間ごとに 10 イベント ハブという Azure の制限があるためです。

以下に例を示します。

Microsoft Azure portalのイベント ハブ セクション

このオプションを選択した場合は、「Microsoft Defender XDRを構成して電子メール テーブルを送信する」セクションに進むことができます。

[Event Hub+ Event Hub] を選択して、名前空間内の Event Hubs> をCreateします。

パーティション数を使用すると、並列処理によってスループットが向上するため、予想される負荷に基づいてこの数を増やすことをお勧めします。 既定のメッセージ保持期間とキャプチャの値は 1 とオフにすることをお勧めします。

Microsoft Azure portalのイベント ハブ作成セクション

これらの Event Hubs (名前空間ではなく) では、共有アクセス ポリシーを送信、リッスン要求で構成する必要があります。 Event Hub>の [共有アクセス ポリシー>] + [追加] をクリックし、ポリシー名 (他の場所では使用されません) を指定し、[送信リッスン] をチェックします。

Microsoft Azure portalの [共有アクセス ポリシー] ページ

電子メール テーブルを送信するようにMicrosoft Defender XDRを構成する

Event Hubs を使用Microsoft Defender XDR Splunk にEmailテーブルを送信するように設定する

  1. 次のすべてのロール要件を満たすアカウントでMicrosoft Defender XDRにサインインします。

    • エクスポートする Event Hubs の Event Hubs 名前空間 リソース レベル以上の共同作成者ロール。 このアクセス許可がないと、設定を保存しようとするとエクスポート エラーが発生します。

    • Microsoft Defender XDR と Azure に関連付けられているテナントのグローバル 管理またはセキュリティ 管理 ロール。

      Microsoft Defender ポータルの [設定] ページ

  2. [ Raw Data Export +Add]\(生データエクスポート > +追加\) をクリックします。

    ここで、上記で記録したデータを使用します。

    名前: この値はローカルであり、環境内で動作するものでなければなりません。

    イベントをイベント ハブに転送する: このチェック ボックスをオンにします。

    Event-Hub リソース ID: この値は、Event Hubs を設定したときに記録した Event Hubs 名前空間リソース ID です。

    Event-Hub 名: Event Hubs 名前空間内に Event Hubs を作成した場合は、上記で記録した Event Hubs 名を貼り付けます。

    Microsoft Defender XDRでイベントの種類 (テーブル) ごとに Event Hubs を作成できるようにする場合は、このフィールドを空のままにします。

    イベントの種類: Event Hubs に転送してからカスタム アプリに転送する高度なハンティング テーブルを選択します。 アラート テーブルはMicrosoft Defender XDRから、デバイス テーブルは Microsoft Defender for Endpoint (EDR) から、EmailテーブルはMicrosoft Defender for Office 365から取得されます。 Email イベントは、すべてのEmailトランザクションを記録します。 URL (安全なリンク)、添付ファイル (安全な添付ファイル)、および配信後イベント (ZAP) も記録され、[NetworkMessageId] フィールドの [Email イベント] に参加できます。

    Microsoft Azure portalの [ストリーミング API の設定] ページ

  3. [ 送信] をクリックしてください。

イベントが Event Hubs にエクスポートされていることを確認する

基本的な高度なハンティング クエリを実行することで、イベントが Event Hubs に送信されていることを確認できます。 [ ハンティング>の高度なハンティング>クエリ] を 選択し、次のクエリを入力します。

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

このクエリでは、他のすべてのテーブルで結合された過去 1 時間に受信したメールの数が表示されます。 また、イベント ハブにエクスポートできるイベントが表示される場合も表示されます。 この数に 0 が表示される場合、Event Hubs に送信されるデータは表示されません。

Microsoft Azure portalの高度なハンティング ページ

エクスポートするデータがあることを確認したら、[Event Hubs] ページを表示して、メッセージが受信されていることを確認できます。 このプロセスには最大 1 時間かかることがあります。

  1. Azure で、[イベント ハブ] [名前空間>] [イベント ハブ>] の [クリック] の [イベント ハブ>のクリック] に移動します
  2. [ 概要] で下にスクロールし、[メッセージ] グラフに [受信メッセージ] が表示されます。 結果が表示されない場合、カスタム アプリが取り込むメッセージはありません。

Microsoft 365 Azure portalの [概要] ページ

Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします