Konfigurer Microsoft Defender XDR til å strømme avanserte jakthendelser til Azure Event Hub

Gjelder for:

• Microsoft Defender XDR

Obs!

Prøv våre nye API-er ved hjelp av MS Graph Security API. Finn ut mer på: Bruk Microsoft Graph security API - Microsoft Graph | Microsoft Learn.

Viktig

Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.

Forutsetninger

Før du konfigurerer Microsoft Defender XDR til å strømme data til Event Hubs, må du sørge for at følgende forutsetninger er oppfylt:

1. Opprett en hendelseshub (hvis du vil ha informasjon, kan du se Konfigurere hendelseshuber).

2. Opprette et navneområde for hendelseshuber (hvis du vil ha informasjon, kan du se Konfigurere Navneområde for hendelseshuber).

3. Legg til tillatelser til enheten som har rettighetene til en bidragsyter , slik at denne enheten kan eksportere data til hendelseshubene. Hvis du vil ha mer informasjon om hvordan du legger til tillatelser, kan du se Legge til tillatelser

Obs!

Strømmings-API-en kan integreres enten via Event Hubs eller Azure Storage Account.

Aktiver strømming av rådata

1. Logg på Microsoft Defender-portalen som en sikkerhetsadministrator som et minimum.

Viktig

Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.

2. Gå til siden for innstillinger for strømming av API.

3. Klikk legg til.

4. Velg et navn for de nye innstillingene.

5. Velg Videresend hendelser til Azure Event Hub.

6. Du kan velge om du vil eksportere hendelsesdataene til én enkelt Hendelseshub, eller eksportere hver hendelsestabell til forskjellige Hendelseshuber i Event Hubs-navneområdet.

7. Hvis du vil eksportere hendelsesdataene til én enkelt Hendelseshub, skriver du inn Event Hub-navnet og ressurs-ID-en for Event Hub.

   Hvis du vil ha ressurs-ID-en for Event Hub, går du til azure Event Hubs-navneområdesiden på Azure>Properties-fanen> og kopierer teksten under Ressurs-ID:

   

8. Gå til støttede Microsoft Defender XDR-hendelsestyper i hendelsesstrømming av API for å se gjennom støttestatusen for hendelsestyper i Microsoft 365 Streaming API.

9. Velg hendelsene du vil strømme, og klikk Lagre.

Skjemaet for hendelsene i Azure Event Hub

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

• Hver Event Hubs-melding i Azure Event Hubs inneholder en liste over poster.

• Hver post inneholder hendelsesnavnet, tidspunktet da Microsoft Defender XDR mottok hendelsen, leieren den tilhører (du får bare hendelser fra leieren) og hendelsen i JSON-format i en egenskap kalt «egenskaper».

• Hvis du vil ha mer informasjon om skjemaet for Microsoft Defender XDR-hendelser, kan du se Oversikt over avansert jakt.

• I Avansert jakt har DeviceInfo-tabellen en kolonne kalt MachineGroup som inneholder gruppen på enheten. Her vil hver hendelse også være dekorert med denne kolonnen.

Tilordning av datatyper

Gjør følgende for å hente datatypene for hendelsesegenskaper:

1. Logg på Microsoft Defender XDR , og gå til siden Avansert jakt.

2. Kjør følgende spørring for å hente datatypetilordningen for hver hendelse:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Her er et eksempel på enhetsinformasjonshendelse:

  

Estimerer innledende Event Hub-kapasitet

Følgende avanserte jaktspørring kan bidra til å gi en grov beregning av gjennomstrømming av datavolum og innledende hendelseshubkapasitet basert på hendelser/sekund og estimert MB/sekund. Vi anbefaler at du kjører spørringen i vanlig arbeidstid for å registrere «ekte» gjennomstrømming.

let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60 
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec

Hvis du vil kontrollere de ulike begrensningene for Event Hub, kan du se gjennom kvoten og grensene for Azure Event Hubs.

Overvåke opprettede ressurser

Du kan overvåke ressursene som opprettes av API-en for strømming ved hjelp av Azure Monitor. Hvis du vil ha mer informasjon, kan du se dataeksport for Log Analytics-arbeidsområde i Azure Monitor.

Beslektede emner

• Bruk Microsoft Graph-sikkerhets-API -en – Microsoft Graph | Microsoft Learn

• Oversikt over avansert jakt

• Microsoft Defender XDR-strømming av API

• Støttede Microsoft Defender XDR-hendelsestyper i hendelsesstrømming av API

• Stream Microsoft Defender XDR-hendelser til Azure-lagringskontoen

• Dokumentasjon for Azure Event Hubs

• Feilsøke tilkoblingsproblemer – Azure Event Hubs

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.