Delen via


Uw Event Hubs configureren

Van toepassing op:

Opmerking

Probeer onze nieuwe API's met behulp van de MS Graph-beveiligings-API. Meer informatie vindt u op: De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn.

Meer informatie over het configureren van uw Event Hubs zodat deze gebeurtenissen van Microsoft Defender XDR kan opnemen.

De vereiste resourceprovider instellen in het Event Hubs-abonnement

  1. Meld u aan bij Azure Portal.
  2. Selecteer Abonnementen>{ Selecteer het abonnement waarop de Event Hubs worden geïmplementeerd in }>Resourceproviders.
  3. Controleer of de Microsoft.Insights-provider is geregistreerd. Anders registreert u het.

De pagina met de lijst met serviceproviders in Microsoft Azure Portal

Registratie van Microsoft Entra-apps instellen

Opmerking

U moet de beheerdersrol hebben of Microsoft Entra ID moet zo zijn ingesteld dat niet-beheerders apps kunnen registreren. U moet ook de rol Eigenaar of Beheerder voor gebruikerstoegang hebben om de service-principal een rol toe te wijzen. Zie Een Microsoft Entra-app maken & service-principal in de portal - Microsoft Identity Platform | Microsoft Docs.

  1. Maak een nieuwe registratie (waarmee een service-principal wordt gemaakt) in Microsoft Entra ID>App-registraties>Nieuwe registratie.

  2. Vul het formulier in met alleen de naam (er is geen omleidings-URI vereist).

    De weergavesectie van de toepassingsnaam in de Microsoft Azure-portal

    De sectie Overzichtsinformatie in de Microsoft Azure-portal

  3. Maak een geheim door te klikken op Certificaten & geheimen>Nieuw clientgeheim:

    De sectie Clientgeheim in de Microsoft Azure-portal

Deze waarde voor clientgeheim wordt gebruikt door Microsoft Graph API's om deze toepassing te verifiëren die wordt geregistreerd.

Waarschuwing

U hebt geen toegang meer tot het clientgeheim, dus sla het op.

Event Hubs-naamruimte instellen

  1. Een Event Hubs-naamruimte maken:

    Ga naar Event Hub > Toevoegen en selecteer de prijscategorie, doorvoereenheden en Automatisch vergroten (vereist standaardprijzen en onder functies) die geschikt zijn voor de belasting die u verwacht. Zie Prijzen - Event Hubs | Microsoft Azure.

    Opmerking

    U kunt een bestaande event-hub gebruiken, maar de doorvoer en schaalaanpassing zijn ingesteld op het niveau van de naamruimte, dus het wordt aanbevolen om een event-hub in de eigen naamruimte te plaatsen.

    De sectie Event Hubs in de Microsoft Azure-portal

  2. U hebt ook de resource-id van deze Event Hubs-naamruimte nodig. Ga naar de pagina > Eigenschappen van uw Azure Event Hubs-naamruimte. Kopieer de tekst onder Resource-id en noteer deze voor gebruik in de sectie Microsoft 365-configuratie hieronder.

    De sectie Event Hubs-eigenschappen in de Microsoft Azure-portal

Machtigingen toevoegen

U moet machtigingen toevoegen voor de volgende rollen aan entiteiten die betrokken zijn bij Event Hubs-gegevensbeheer:

  • Inzender: de machtigingen met betrekking tot deze rol worden toegevoegd aan de entiteit die zich aanmeldt bij de Microsoft Defender-portal.
  • Lezer en Azure Event Hub-gegevensontvanger: de machtigingen met betrekking tot deze rollen worden toegewezen aan de entiteit die al de rol van een service-principal heeft toegewezen en zich aanmeldt bij de Microsoft Entra-toepassing.

Voer de volgende stap uit om ervoor te zorgen dat deze rollen zijn toegevoegd:

Ga naar Event Hub Namespace>Access Control (IAM)>Voeg toe en controleer onder Roltoewijzingen.

Een service-principal voor toepassingsregistratie in Microsoft Azure Portal

Event Hubs instellen

Optie 1:

U kunt een Event Hubs maken in uw naamruimte en alle gebeurtenistypen (tabellen) die u selecteert om te exporteren, worden naar deze event hub geschreven.

Optie 2:

In plaats van alle gebeurtenistypen (tabellen) te exporteren naar één Event Hub, kunt u elke tabel exporteren naar verschillende Event Hubs in uw Event Hubs-naamruimte (één Event Hub per gebeurtenistype).

In deze optie maakt Microsoft Defender XDR Event Hubs voor u.

Opmerking

Als u een Event Hub-naamruimte gebruikt die geen deel uitmaakt van een Event Hub-cluster, kunt u maximaal 10 gebeurtenistypen (tabellen) kiezen om te exporteren in elke exportinstellingen die u definieert, vanwege een Azure-beperking van 10 Event Hub per Event Hub-naamruimte.

Bijvoorbeeld:

Een sectie Event Hubs in de Microsoft Azure-portal

Als u deze optie kiest, kunt u doorgaan naar de sectie Microsoft Defender XDR configureren om e-mailtabellen te verzenden .

Maak Event Hubs in uw naamruimte door Event Hub>+ Event Hub te selecteren.

Het aantal partities zorgt voor meer doorvoer via parallellisme, dus het is raadzaam om dit aantal te verhogen op basis van de belasting die u verwacht. Standaardwaarden voor berichtretentie en vastleggen van 1 en Uit worden aanbevolen.

Een sectie voor het maken van Event Hubs in de Microsoft Azure-portal

Voor deze Event Hubs (geen naamruimte) moet u een beleid voor gedeelde toegang configureren met claims verzenden, luisteren. Klik op uwGedeelde toegangsbeleid> voor Event Hub>+ Toevoegen en geef er vervolgens een beleidsnaam op (niet elders gebruikt) en schakel Verzenden en luisteren in.

De pagina Gedeeld toegangsbeleid in Microsoft Azure Portal

Microsoft Defender XDR configureren voor het verzenden van e-mailtabellen

Microsoft Defender XDR-e-mailtabellen naar Splunk instellen via Event Hubs

  1. Meld u aan bij Microsoft Defender XDR met een account dat voldoet aan alle volgende rolvereisten:

    • De rol Inzender op het resourceniveau van de Event Hubs-naamruimte of hoger voor de Event Hubs waarnaar u exporteert. Zonder deze machtiging krijgt u een exportfout wanneer u de instellingen probeert op te slaan.

    • Rol van beveiligingsbeheerder voor de tenant die is gekoppeld aan Microsoft Defender XDR en Azure.

      De pagina Instellingen van de Microsoft Defender-portal

  2. Klik op Onbewerkte gegevens exporteren > +Toevoegen.

    U gebruikt nu de gegevens die u hierboven hebt vastgelegd.

    Naam: deze waarde is lokaal en moet zijn wat in uw omgeving werkt.

    Gebeurtenissen doorsturen naar Event Hub: schakel dit selectievakje in.

    Event-Hub-resource-id: deze waarde is de resource-id van de Event Hubs-naamruimte die u hebt vastgelegd bij het instellen van de Event Hubs.

    Event Hub-naam: als u een Event Hubs hebt gemaakt in uw Event Hubs-naamruimte, plakt u de Event Hubs-naam die u hierboven hebt opgenomen.

    Als u ervoor kiest om Microsoft Defender XDR toe te staan event hubs per gebeurtenistypen (tabellen) voor u te maken, laat u dit veld leeg.

    Gebeurtenistypen: selecteer de geavanceerde opsporingstabellen die u wilt doorsturen naar de Event Hubs en vervolgens naar uw aangepaste app. Waarschuwingstabellen zijn van Microsoft Defender XDR, apparaten zijn van Microsoft Defender voor Eindpunt (EDR) en E-mailtabellen zijn van Microsoft Defender voor Office 365. E-mail gebeurtenissen registreert alle e-mailtransacties. De URL (veilige koppelingen), bijlage (veilige bijlagen) en ZAP (Post Delivery Events) worden ook vastgelegd en kunnen worden toegevoegd aan de e-mail gebeurtenissen in het veld NetworkMessageId.

    De pagina met streaming-API-instellingen in de Microsoft Azure-portal

  3. Zorg ervoor dat u op Verzenden klikt.

Controleer of de gebeurtenissen worden geëxporteerd naar de Event Hubs

U kunt controleren of gebeurtenissen worden verzonden naar de Event Hubs door een eenvoudige Geavanceerde opsporingsquery uit te voeren. Selecteer Opsporing>geavanceerde opsporingsquery> en voer de volgende query in:

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

Met deze query ziet u hoeveel e-mailberichten in het afgelopen uur zijn ontvangen in alle andere tabellen. U ziet ook of u gebeurtenissen ziet die naar de Event Hubs kunnen worden geëxporteerd. Als dit aantal 0 wordt weergegeven, ziet u geen gegevens die naar de Event Hubs gaan.

De pagina geavanceerde opsporing in Microsoft Azure Portal

Nadat u hebt gecontroleerd of er gegevens zijn om te exporteren, kunt u de pagina Event Hubs bekijken om te controleren of berichten binnenkomen. Dit proces kan maximaal één uur duren.

  1. Ga in Azure naar Event Hub> Klik op de naamruimte>Event Hub> Klik op de Event Hub.
  2. Schuif onder Overzicht omlaag en in de grafiek Berichten ziet u Binnenkomende berichten. Als u geen resultaten ziet, zijn er geen berichten voor uw aangepaste app om op te nemen.

 De pagina Overzicht in de Microsoft 365 Azure-portal

De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.