Uw Event Hubs configureren
Van toepassing op:
Opmerking
Probeer onze nieuwe API's met behulp van de MS Graph-beveiligings-API. Meer informatie vindt u op: De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn.
Meer informatie over het configureren van uw Event Hubs zodat deze gebeurtenissen van Microsoft Defender XDR kan opnemen.
De vereiste resourceprovider instellen in het Event Hubs-abonnement
- Meld u aan bij Azure Portal.
- Selecteer Abonnementen>{ Selecteer het abonnement waarop de Event Hubs worden geïmplementeerd in }>Resourceproviders.
- Controleer of de Microsoft.Insights-provider is geregistreerd. Anders registreert u het.
Registratie van Microsoft Entra-apps instellen
Opmerking
U moet de beheerdersrol hebben of Microsoft Entra ID moet zo zijn ingesteld dat niet-beheerders apps kunnen registreren. U moet ook de rol Eigenaar of Beheerder voor gebruikerstoegang hebben om de service-principal een rol toe te wijzen. Zie Een Microsoft Entra-app maken & service-principal in de portal - Microsoft Identity Platform | Microsoft Docs.
Maak een nieuwe registratie (waarmee een service-principal wordt gemaakt) in Microsoft Entra ID>App-registraties>Nieuwe registratie.
Vul het formulier in met alleen de naam (er is geen omleidings-URI vereist).
Maak een geheim door te klikken op Certificaten & geheimen>Nieuw clientgeheim:
Deze waarde voor clientgeheim wordt gebruikt door Microsoft Graph API's om deze toepassing te verifiëren die wordt geregistreerd.
Waarschuwing
U hebt geen toegang meer tot het clientgeheim, dus sla het op.
Event Hubs-naamruimte instellen
Een Event Hubs-naamruimte maken:
Ga naar Event Hub > Toevoegen en selecteer de prijscategorie, doorvoereenheden en Automatisch vergroten (vereist standaardprijzen en onder functies) die geschikt zijn voor de belasting die u verwacht. Zie Prijzen - Event Hubs | Microsoft Azure.
Opmerking
U kunt een bestaande event-hub gebruiken, maar de doorvoer en schaalaanpassing zijn ingesteld op het niveau van de naamruimte, dus het wordt aanbevolen om een event-hub in de eigen naamruimte te plaatsen.
U hebt ook de resource-id van deze Event Hubs-naamruimte nodig. Ga naar de pagina > Eigenschappen van uw Azure Event Hubs-naamruimte. Kopieer de tekst onder Resource-id en noteer deze voor gebruik in de sectie Microsoft 365-configuratie hieronder.
Machtigingen toevoegen
U moet machtigingen toevoegen voor de volgende rollen aan entiteiten die betrokken zijn bij Event Hubs-gegevensbeheer:
- Inzender: de machtigingen met betrekking tot deze rol worden toegevoegd aan de entiteit die zich aanmeldt bij de Microsoft Defender-portal.
- Lezer en Azure Event Hub-gegevensontvanger: de machtigingen met betrekking tot deze rollen worden toegewezen aan de entiteit die al de rol van een service-principal heeft toegewezen en zich aanmeldt bij de Microsoft Entra-toepassing.
Voer de volgende stap uit om ervoor te zorgen dat deze rollen zijn toegevoegd:
Ga naar Event Hub Namespace>Access Control (IAM)>Voeg toe en controleer onder Roltoewijzingen.
Event Hubs instellen
Optie 1:
U kunt een Event Hubs maken in uw naamruimte en alle gebeurtenistypen (tabellen) die u selecteert om te exporteren, worden naar deze event hub geschreven.
Optie 2:
In plaats van alle gebeurtenistypen (tabellen) te exporteren naar één Event Hub, kunt u elke tabel exporteren naar verschillende Event Hubs in uw Event Hubs-naamruimte (één Event Hub per gebeurtenistype).
In deze optie maakt Microsoft Defender XDR Event Hubs voor u.
Opmerking
Als u een Event Hub-naamruimte gebruikt die geen deel uitmaakt van een Event Hub-cluster, kunt u maximaal 10 gebeurtenistypen (tabellen) kiezen om te exporteren in elke exportinstellingen die u definieert, vanwege een Azure-beperking van 10 Event Hub per Event Hub-naamruimte.
Bijvoorbeeld:
Als u deze optie kiest, kunt u doorgaan naar de sectie Microsoft Defender XDR configureren om e-mailtabellen te verzenden .
Maak Event Hubs in uw naamruimte door Event Hub>+ Event Hub te selecteren.
Het aantal partities zorgt voor meer doorvoer via parallellisme, dus het is raadzaam om dit aantal te verhogen op basis van de belasting die u verwacht. Standaardwaarden voor berichtretentie en vastleggen van 1 en Uit worden aanbevolen.
Voor deze Event Hubs (geen naamruimte) moet u een beleid voor gedeelde toegang configureren met claims verzenden, luisteren. Klik op uwGedeelde toegangsbeleid> voor Event Hub>+ Toevoegen en geef er vervolgens een beleidsnaam op (niet elders gebruikt) en schakel Verzenden en luisteren in.
Microsoft Defender XDR configureren voor het verzenden van e-mailtabellen
Microsoft Defender XDR-e-mailtabellen naar Splunk instellen via Event Hubs
Meld u aan bij Microsoft Defender XDR met een account dat voldoet aan alle volgende rolvereisten:
De rol Inzender op het resourceniveau van de Event Hubs-naamruimte of hoger voor de Event Hubs waarnaar u exporteert. Zonder deze machtiging krijgt u een exportfout wanneer u de instellingen probeert op te slaan.
Rol van beveiligingsbeheerder voor de tenant die is gekoppeld aan Microsoft Defender XDR en Azure.
Klik op Onbewerkte gegevens exporteren > +Toevoegen.
U gebruikt nu de gegevens die u hierboven hebt vastgelegd.
Naam: deze waarde is lokaal en moet zijn wat in uw omgeving werkt.
Gebeurtenissen doorsturen naar Event Hub: schakel dit selectievakje in.
Event-Hub-resource-id: deze waarde is de resource-id van de Event Hubs-naamruimte die u hebt vastgelegd bij het instellen van de Event Hubs.
Event Hub-naam: als u een Event Hubs hebt gemaakt in uw Event Hubs-naamruimte, plakt u de Event Hubs-naam die u hierboven hebt opgenomen.
Als u ervoor kiest om Microsoft Defender XDR toe te staan event hubs per gebeurtenistypen (tabellen) voor u te maken, laat u dit veld leeg.
Gebeurtenistypen: selecteer de geavanceerde opsporingstabellen die u wilt doorsturen naar de Event Hubs en vervolgens naar uw aangepaste app. Waarschuwingstabellen zijn van Microsoft Defender XDR, apparaten zijn van Microsoft Defender voor Eindpunt (EDR) en E-mailtabellen zijn van Microsoft Defender voor Office 365. E-mail gebeurtenissen registreert alle e-mailtransacties. De URL (veilige koppelingen), bijlage (veilige bijlagen) en ZAP (Post Delivery Events) worden ook vastgelegd en kunnen worden toegevoegd aan de e-mail gebeurtenissen in het veld NetworkMessageId.
Zorg ervoor dat u op Verzenden klikt.
Controleer of de gebeurtenissen worden geëxporteerd naar de Event Hubs
U kunt controleren of gebeurtenissen worden verzonden naar de Event Hubs door een eenvoudige Geavanceerde opsporingsquery uit te voeren. Selecteer Opsporing>geavanceerde opsporingsquery> en voer de volgende query in:
EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count
Met deze query ziet u hoeveel e-mailberichten in het afgelopen uur zijn ontvangen in alle andere tabellen. U ziet ook of u gebeurtenissen ziet die naar de Event Hubs kunnen worden geëxporteerd. Als dit aantal 0 wordt weergegeven, ziet u geen gegevens die naar de Event Hubs gaan.
Nadat u hebt gecontroleerd of er gegevens zijn om te exporteren, kunt u de pagina Event Hubs bekijken om te controleren of berichten binnenkomen. Dit proces kan maximaal één uur duren.
- Ga in Azure naar Event Hub> Klik op de naamruimte>Event Hub> Klik op de Event Hub.
- Schuif onder Overzicht omlaag en in de grafiek Berichten ziet u Binnenkomende berichten. Als u geen resultaten ziet, zijn er geen berichten voor uw aangepaste app om op te nemen.
Verwante onderwerpen
De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.