De streaming-API gebruiken met Microsoft Defender voor Bedrijven
Als uw organisatie een Security Operations Center (SOC) heeft, is de mogelijkheid om de Microsoft Defender voor Eindpunt streaming-API te gebruiken beschikbaar voor Defender voor Bedrijven en Microsoft 365 Business Premium. Met de API kunt u gegevens, zoals apparaatbestand, register, netwerk, aanmeldingsgebeurtenissen en meer streamen naar een van de volgende services:
- Microsoft Sentinel, een schaalbare, cloudeigen oplossing die mogelijkheden biedt voor SIEM(Security Information and Event Management) en security orchestration, automation and response (SOAR).
- Azure Event Hubs, een modern platform voor het streamen van big data en een service voor het opnemen van gebeurtenissen die naadloos kunnen worden geïntegreerd met andere Azure- en Microsoft-services, zoals Stream Analytics, Power BI en Event Grid, samen met externe services zoals Apache Spark.
- Azure Storage, de cloudopslagoplossing van Microsoft voor moderne gegevensopslagscenario's, met maximaal beschikbare, uiterst schaalbare, duurzame en veilige opslag voor een verscheidenheid aan gegevensobjecten in de cloud.
Met de streaming-API kunt u geavanceerde opsporing en aanvalsdetectie gebruiken met Defender voor Bedrijven en Microsoft 365 Business Premium. Met de streaming-API kunnen SOC's meer gegevens over apparaten bekijken, beter begrijpen hoe een aanval heeft plaatsgevonden en stappen ondernemen om de beveiliging van apparaten te verbeteren.
De streaming-API gebruiken met Microsoft Sentinel
Opmerking
Microsoft Sentinel is een betaalde service. Er zijn verschillende abonnementen en prijsopties beschikbaar. Zie Prijzen van Microsoft Sentinel.
Zorg ervoor dat Defender voor Bedrijven is ingesteld en geconfigureerd en dat apparaten al zijn voorbereid. Zie Microsoft Defender voor Bedrijven instellen en configureren.
Creatie een Log Analytics-werkruimte die u met Sentinel gaat gebruiken. Zie Creatie een Log Analytics-werkruimte.
Onboarden naar Microsoft Sentinel. Zie Snelstart: Microsoft Sentinel onboarden.
Schakel de Microsoft Defender XDR-connector in. Zie Gegevens van Microsoft Defender XDR verbinden met Microsoft Sentinel.
De streaming-API gebruiken met Event Hubs
Opmerking
voor Azure Event Hubs is een Azure-abonnement vereist. Voordat u begint, moet u een Event Hub in uw tenant maken. Meld u vervolgens aan bij de Azure Portal en ga naar Abonnementen>Uw abonnement>Resourceproviders>registreren bij Microsoft.insights.
Ga naar de Microsoft Defender-portal en meld u aan als globale beheerder of beveiligingsbeheerder.
Ga naar de pagina Instellingen voor gegevensexport.
Selecteer Instellingen voor gegevensexport toevoegen.
Kies een naam voor uw nieuwe instellingen.
Kies Gebeurtenissen doorsturen naar Azure Event Hubs.
Typ uw Event Hubs-naam en uw Event Hubs-id.
Opmerking
Als u het veld Event Hubs-naam leeg laat, maakt u een Event Hub voor elke categorie in de geselecteerde naamruimte. Als u geen toegewezen Event Hubs-cluster gebruikt, moet u er rekening mee houden dat er een limiet is van 10 Event Hubs-naamruimten.
Als u uw Event Hubs-id wilt ophalen, gaat u naar de pagina Azure Event Hubs naamruimte in de Azure Portal. Kopieer op het tabblad Eigenschappen de tekst onder Id.
Kies de gebeurtenissen die u wilt streamen en selecteer vervolgens Opslaan.
Het schema van gebeurtenissen in Azure Event Hubs
Het schema van gebeurtenissen in Azure Event Hubs ziet er als volgt uit:
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Elk Event Hub-bericht in Azure Event Hubs bevat een lijst met records. Elke record bevat de naam van de gebeurtenis, het tijdstip waarop Defender voor Bedrijven de gebeurtenis heeft ontvangen, de tenant waartoe deze behoort (u ontvangt alleen gebeurtenissen van uw tenant) en de gebeurtenis in JSON-indeling in een eigenschap met de naam 'eigenschappen'. Zie Proactief zoeken naar bedreigingen met geavanceerde opsporing in Microsoft Defender XDR voor meer informatie over het schema.
De streaming-API gebruiken met Azure Storage
Voor Azure Storage is een Azure-abonnement vereist. Voordat u begint, moet u een opslagaccount maken in uw tenant. Meld u vervolgens aan bij uw Azure-tenant en ga naar Abonnementen>Uw abonnement>Resourceproviders>registreren bij Microsoft.insights.
Streaming van onbewerkte gegevens inschakelen
Ga naar de Microsoft Defender-portal en meld u aan als globale beheerder of beveiligingsbeheerder.
Ga naar de pagina Instellingen voor gegevensexport in Microsoft Defender XDR.
Selecteer Instellingen voor gegevensexport toevoegen.
Kies een naam voor uw nieuwe instellingen.
Kies Gebeurtenissen doorsturen naar Azure Storage.
Typ de resource-id van uw opslagaccount. Als u de resource-id van uw opslagaccount wilt ophalen, gaat u naar de pagina Opslagaccount in de Azure Portal. Kopieer vervolgens op het tabblad Eigenschappen de tekst onder Resource-id opslagaccount.
Kies de gebeurtenissen die u wilt streamen en selecteer vervolgens Opslaan.
Het schema van gebeurtenissen in Azure Storage-account
Voor elk gebeurtenistype wordt een blobcontainer gemaakt. Het schema van elke rij in een blob is het volgende JSON-bestand:
{
"time": "<The time WDATP received the event>"
"tenantId": "<Your tenant ID>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
Elke blob bevat meerdere rijen. Elke rij bevat de naam van de gebeurtenis, de tijd waarop Defender voor Bedrijven de gebeurtenis heeft ontvangen, de tenant waartoe deze behoort (u ontvangt alleen gebeurtenissen van uw tenant) en de gebeurtenis in JSON-indelingseigenschappen. Zie Proactief zoeken naar bedreigingen met geavanceerde opsporing in Microsoft Defender XDR voor meer informatie over het schema van Microsoft Defender voor Eindpunt-gebeurtenissen.
Zie ook
- Api voor het streamen van onbewerkte gegevens in Defender voor Eindpunt