Bruk API-en for strømming med Microsoft Defender for bedrifter

Hvis organisasjonen har et Security Operations Center (SOC), er muligheten til å bruke API for strømming Microsoft Defender for endepunkt tilgjengelig for Defender for Business og Microsoft 365 Business Premium. Med API-en kan du strømme data, for eksempel enhetsfil, register, nettverk, påloggingshendelser og mer til én av følgende tjenester:

• Microsoft Sentinel, en skalerbar, skybasert løsning som gir sikkerhetsinformasjon og hendelsesbehandling (SIEM) og sikkerhetsorkestrerings-, automatiserings- og responsfunksjoner (SOAR).
• Azure Event Hubs, en moderne plattform for strømming av store data og hendelsesinntakstjenester som sømløst kan integreres med andre Azure- og Microsoft-tjenester, for eksempel Stream Analytics, Power BI og Event Grid, sammen med eksterne tjenester som Apache Spark.
• Azure Storage, Microsofts skylagringsløsning for moderne datalagringsscenarioer, med svært tilgjengelig, massivt skalerbar, holdbar og sikker lagring for en rekke dataobjekter i skyen.

Med API-en for strømming kan du bruke avansert jakt- og angrepsgjenkjenning med Defender for Business og Microsoft 365 Business Premium. API-en for strømming gjør det mulig for SOCer å vise mer data om enheter, forstå bedre hvordan et angrep skjedde, og iverksette tiltak for å forbedre enhetssikkerheten.

Bruk API-en for strømming med Microsoft Sentinel

Obs!

Microsoft Sentinel er en betalt tjeneste. Flere abonnementer og prisalternativer er tilgjengelige. Se Priser for Microsoft Sentinel.

1. Kontroller at Defender for Business er konfigurert og konfigurert, og at enhetene allerede er innebygd. Se Konfigurere og konfigurere Microsoft Defender for bedrifter.

2. Opprett et Log Analytics-arbeidsområde som du skal bruke med Sentinel. Se Opprett et log analytics-arbeidsområde.

3. Onboard til Microsoft Sentinel. Se hurtigstart: Om bord på Microsoft Sentinel.

4. Aktiver Microsoft Defender XDR kobling. Se Koble data fra Microsoft Defender XDR til Microsoft Sentinel.

Bruk API-en for strømming med Hendelseshuber

Obs!

Azure Event Hubs krever et Azure-abonnement. Før du begynner, må du opprette en hendelseshub i leieren. Deretter logger du deg på Azure Portal, går til Abonnementer>>Ressursleverandørene registrerer>seg for Microsoft.insights.

1. Gå til Microsoft Defender-portalen, og logg på som global administrator eller sikkerhetsadministrator.

2. Gå til innstillingssiden for dataeksport.

3. Velg Legg til innstillinger for dataeksport.

4. Velg et navn for de nye innstillingene.

5. Velg Videresend hendelser til Azure Event Hubs.

6. Skriv inn navnet på Event Hubs og Event Hubs-ID-en.

   Obs!

   Hvis du lar navnefeltet for hendelseshuber stå tomt, opprettes det en hendelseshub for hver kategori i det valgte navneområdet. Hvis du ikke bruker en dedicated Event Hubs Cluster, må du huske på at det er en grense på 10 Event Hubs-navneområder.

   Gå til navneområdesiden for Azure Event Hubs i Azure Portal for å få Event Hubs-ID-en. Kopier teksten under ID på Egenskaper-fanen.

7. Velg hendelsene du vil strømme, og velg deretter Lagre.

Hendelsesskjemaet i Azure Event Hubs

Slik ser hendelsesskjemaet i Azure Event Hubs ut:

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

Hver hendelseshubmelding i Azure Event Hubs inneholder en liste over poster. Hver post inneholder hendelsesnavnet, tidspunktet Defender for Business mottok hendelsen, leieren den tilhører (du får hendelser bare fra leieren), og hendelsen i JSON-format i en egenskap kalt Egenskaper. Hvis du vil ha mer informasjon om skjemaet, kan du se Proaktivt jakte på trusler med avansert jakt i Microsoft Defender XDR.

Bruk API-en for strømming med Azure Storage

Azure Storage krever et Azure-abonnement. Før du begynner, må du opprette en lagringskonto i leieren. Deretter logger du deg på Azure-leieren og går til Abonnementer> Somressursleverandører>registrerer>deg for Microsoft.insights.

Aktiver strømming av rådata

1. Gå til Microsoft Defender-portalen, og logg på som global administrator eller sikkerhetsadministrator.

2. Gå til innstillingssiden for dataeksport i Microsoft Defender XDR.

3. Velg Legg til innstillinger for dataeksport.

4. Velg et navn for de nye innstillingene.

5. Velg Videresend hendelser til Azure Storage.

6. Skriv inn ressurs-ID-en for lagringskontoen. Hvis du vil hente ressurs-ID-en for lagringskontoen, går du til lagringskontosiden i Azure Portal. Deretter kopierer du teksten under Ressurs-ID for lagringskonto på Egenskaper-fanen.

7. Velg hendelsene du vil strømme, og velg deretter Lagre.

Hendelsesskjemaet i Azure Storage-kontoen

En blob-beholder opprettes for hver hendelsestype. Skjemaet for hver rad i en blob er følgende JSON-fil:

{
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

Hver blob inneholder flere rader. Hver rad inneholder hendelsesnavnet, tidspunktet Defender for Business mottok hendelsen, leieren den tilhører (du får hendelser bare fra tenanten) og hendelsen i JSON-formategenskaper. Hvis du vil ha mer informasjon om skjemaet for Microsoft Defender for endepunkt hendelser, kan du se Proaktivt jakte på trusler med avansert jakt i Microsoft Defender XDR.

Se også

• API for strømming av rådata i Defender for endepunkt