Używanie interfejsu API przesyłania strumieniowego z Microsoft Defender dla Firm

Jeśli Twoja organizacja ma centrum operacji zabezpieczeń (SOC), możliwość korzystania z interfejsu API przesyłania strumieniowego Ochrona punktu końcowego w usłudze Microsoft Defender jest dostępna dla usługi Defender dla firm i Microsoft 365 Business Premium. Interfejs API umożliwia przesyłanie strumieniowe danych, takich jak plik urządzenia, rejestr, sieć, zdarzenia logowania i inne do jednej z następujących usług:

• Microsoft Sentinel to skalowalne, natywne dla chmury rozwiązanie, które zapewnia funkcje zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) oraz aranżacji zabezpieczeń, automatyzacji i reagowania (SOAR).
• Azure Event Hubs, nowoczesna platforma przesyłania strumieniowego danych big data i usługa pozyskiwania zdarzeń, która może bezproblemowo integrować się z innymi usługami platformy Azure i firmy Microsoft, takimi jak Stream Analytics, Power BI i Event Grid, wraz z usługami zewnętrznymi, takimi jak Apache Spark.
• Azure Storage, rozwiązanie magazynu w chmurze firmy Microsoft dla nowoczesnych scenariuszy magazynowania danych, z wysoce dostępnym, wysoce skalowalnym, trwałym i bezpiecznym magazynem dla różnych obiektów danych w chmurze.

Za pomocą interfejsu API przesyłania strumieniowego możesz użyć zaawansowanego wykrywania zagrożeń i ataków w usłudze Defender dla firm i Microsoft 365 Business Premium. Interfejs API przesyłania strumieniowego umożliwia kontrolerom SOC wyświetlanie większej ilości danych o urządzeniach, lepsze zrozumienie sposobu ataku i podjęcie kroków w celu zwiększenia bezpieczeństwa urządzeń.

Korzystanie z interfejsu API przesyłania strumieniowego w usłudze Microsoft Sentinel

Uwaga

Microsoft Sentinel to płatna usługa. Dostępnych jest kilka planów i opcji cen. Zobacz Cennik usługi Microsoft Sentinel.

1. Upewnij się, że usługa Defender dla firm została skonfigurowana i skonfigurowana, a urządzenia są już dołączone. Zobacz Konfigurowanie i konfigurowanie Microsoft Defender dla Firm.

2. Twórca obszaru roboczego usługi Log Analytics, który będzie używany z usługą Sentinel. Zobacz Twórca obszaru roboczego usługi Log Analytics.

3. Dołącz do usługi Microsoft Sentinel. Zobacz Szybki start: dołączanie usługi Microsoft Sentinel.

4. Włącz łącznik Microsoft Defender XDR. Zobacz Łączenie danych z Microsoft Defender XDR z usługą Microsoft Sentinel.

Używanie interfejsu API przesyłania strumieniowego z usługą Event Hubs

Uwaga

Azure Event Hubs wymaga subskrypcji platformy Azure. Przed rozpoczęciem pamiętaj o utworzeniu centrum zdarzeń w dzierżawie. Następnie zaloguj się do Azure Portal, przejdź do pozycji Subskrypcje>Dostawcy> zasobówsubskrypcji>Zarejestruj się w witrynie Microsoft.insights.

1. Przejdź do portalu Microsoft Defender i zaloguj się jako administrator globalny lub administrator zabezpieczeń.

2. Przejdź do strony Ustawienia eksportu danych.

3. Wybierz pozycję Dodaj ustawienia eksportu danych.

4. Wybierz nazwę nowych ustawień.

5. Wybierz pozycję Prześlij zdarzenia do Azure Event Hubs.

6. Wpisz nazwę usługi Event Hubs i identyfikator usługi Event Hubs.

   Uwaga

   Pozostawienie pustego pola nazwy usługi Event Hubs powoduje utworzenie centrum zdarzeń dla każdej kategorii w wybranej przestrzeni nazw. Jeśli nie używasz dedykowanego klastra usługi Event Hubs, pamiętaj, że istnieje limit 10 przestrzeni nazw usługi Event Hubs.

   Aby uzyskać identyfikator usługi Event Hubs, przejdź do strony przestrzeni nazw Azure Event Hubs w Azure Portal. Na karcie Właściwości skopiuj tekst w obszarze Identyfikator.

7. Wybierz zdarzenia, które chcesz przesyłać strumieniowo, a następnie wybierz pozycję Zapisz.

Schemat zdarzeń w Azure Event Hubs

Oto jak wygląda schemat zdarzeń w Azure Event Hubs:

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

Każdy komunikat centrum zdarzeń w Azure Event Hubs zawiera listę rekordów. Każdy rekord zawiera nazwę zdarzenia, czas odebrania zdarzenia przez usługę Defender dla Firm, dzierżawę, do której należy (tylko zdarzenia z dzierżawy) oraz zdarzenie w formacie JSON we właściwości o nazwie "properties". Aby uzyskać więcej informacji na temat schematu, zobacz Proaktywne wyszukiwanie zagrożeń z zaawansowanym wyszukiwaniem zagrożeń w Microsoft Defender XDR.

Korzystanie z interfejsu API przesyłania strumieniowego z usługą Azure Storage

Usługa Azure Storage wymaga subskrypcji platformy Azure. Przed rozpoczęciem pamiętaj o utworzeniu konta magazynu w dzierżawie. Następnie zaloguj się do dzierżawy platformy Azure i przejdź do pozycji Subskrypcje>Dostawcy> zasobówsubskrypcji>Zarejestruj się w witrynie Microsoft.insights.

Włączanie przesyłania strumieniowego danych pierwotnych

1. Przejdź do portalu Microsoft Defender i zaloguj się jako administrator globalny lub administrator zabezpieczeń.

2. Przejdź do strony Ustawienia eksportu danych w Microsoft Defender XDR.

3. Wybierz pozycję Dodaj ustawienia eksportu danych.

4. Wybierz nazwę nowych ustawień.

5. Wybierz pozycję Prześlij zdarzenia do usługi Azure Storage.

6. Wpisz identyfikator zasobu konta magazynu. Aby uzyskać identyfikator zasobu konta magazynu, przejdź do strony konta magazynu w Azure Portal. Następnie na karcie Właściwości skopiuj tekst w obszarze Identyfikator zasobu konta magazynu.

7. Wybierz zdarzenia, które chcesz przesyłać strumieniowo, a następnie wybierz pozycję Zapisz.

Schemat zdarzeń na koncie usługi Azure Storage

Kontener obiektów blob jest tworzony dla każdego typu zdarzenia. Schemat każdego wiersza w obiektach blob to następujący plik JSON:

{
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

Każdy obiekt blob zawiera wiele wierszy. Każdy wiersz zawiera nazwę zdarzenia, czas odebrania zdarzenia przez usługę Defender dla Firm, dzierżawę, do której należy (tylko zdarzenia z dzierżawy) oraz zdarzenie we właściwościach formatu JSON. Aby uzyskać więcej informacji na temat schematu zdarzeń Ochrona punktu końcowego w usłudze Microsoft Defender, zobacz Proaktywne wyszukiwanie zagrożeń z zaawansowanym wyszukiwaniem zagrożeń w Microsoft Defender XDR.

Zobacz też

• Interfejs API przesyłania strumieniowego danych pierwotnych w usłudze Defender for Endpoint