Udostępnij za pośrednictwem

Konfigurowanie usługi Event Hubs

  • Artykuł

Dotyczy:

Uwaga

Wypróbuj nasze nowe interfejsy API przy użyciu interfejsu API zabezpieczeń programu MS Graph. Dowiedz się więcej na stronie: Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn.

Dowiedz się, jak skonfigurować usługę Event Hubs, aby mogła pozyskiwać zdarzenia z usługi Microsoft Defender XDR.

Konfigurowanie wymaganego dostawcy zasobów w subskrypcji usługi Event Hubs

  1. Zaloguj się do witryny Azure Portal.
  2. Wybierz pozycję Subskrypcje>{ Wybierz subskrypcję centrum zdarzeń, która zostanie wdrożona dla dostawcówzasobów.>
  3. Sprawdź, czy dostawca Microsoft.Insights jest zarejestrowany. W przeciwnym razie zarejestruj go.

Strona dostawcy usług w witrynie Microsoft Azure Portal

Konfigurowanie rejestracji aplikacji Microsoft Entra

Uwaga

Musisz mieć rolę administratora lub należy ustawić identyfikator Entra firmy Microsoft, aby umożliwić spoza administratorom rejestrowanie aplikacji. Musisz również mieć rolę właściciel lub administrator dostępu użytkowników, aby przypisać jednostkę usługi do roli. Aby uzyskać więcej informacji, zobacz Tworzenie aplikacji Microsoft Entra & jednostki usługi w portalu — Platforma tożsamości firmy Microsoft | Microsoft Docs.

  1. Utwórz nową rejestrację (która z natury tworzy jednostkę usługi) wobszarze Rejestracje aplikacji identyfikatora>Microsoft Entra>Nowa rejestracja.

  2. Wypełnij formularz tylko nazwą (nie jest wymagany identyfikator URI przekierowania).

    Sekcja wyświetlania nazwy aplikacji w witrynie Microsoft Azure Portal

    Sekcja Informacje o przeglądzie w witrynie Microsoft Azure Portal

  3. Utwórz wpis tajny, klikając pozycję Certyfikaty & wpisy tajne>Nowy klucz tajny klienta:

    Sekcja Wpis tajny klienta w witrynie Microsoft Azure Portal

Ta wartość wpisu tajnego klienta jest używana przez interfejsy API programu Microsoft Graph do uwierzytelniania zarejestrowanej aplikacji.

Ostrzeżenie

Nie będzie można ponownie uzyskać dostępu do wpisu tajnego klienta, więc pamiętaj, aby go zapisać.

Konfigurowanie przestrzeni nazw usługi Event Hubs

  1. Utwórz przestrzeń nazw usługi Event Hubs:

    Przejdź do centrum zdarzeń > Dodaj i wybierz warstwę cenową, jednostki przepływności i automatyczne rozszerzanie (wymaga standardowej ceny i w obszarze funkcji) odpowiednie dla oczekiwanego obciążenia. Aby uzyskać więcej informacji, zobacz Cennik — Event Hubs | Microsoft Azure.

    Uwaga

    Możesz użyć istniejącego centrum zdarzeń, ale przepływność i skalowanie są ustawiane na poziomie przestrzeni nazw, dlatego zaleca się umieszczenie centrum zdarzeń we własnej przestrzeni nazw.

    Sekcja centrum zdarzeń w witrynie Microsoft Azure Portal

  2. Potrzebny będzie również identyfikator zasobu tej przestrzeni nazw usługi Event Hubs. Przejdź do strony > Przestrzeni nazw usługi Azure Event Hubs Właściwości. Skopiuj tekst w obszarze Identyfikator zasobu i zapisz go do użycia w sekcji Konfiguracja platformy Microsoft 365 poniżej.

    Sekcja właściwości centrum zdarzeń w witrynie Microsoft Azure Portal

Dodawanie uprawnień

Musisz dodać uprawnienia do następujących ról do jednostek, które są zaangażowane w zarządzanie danymi usługi Event Hubs:

  • Współautor: Uprawnienia związane z tą rolą są dodawane do jednostki, która loguje się do portalu usługi Microsoft Defender.
  • Czytelnik i odbiorca danych usługi Azure Event Hub: uprawnienia związane z tymi rolami są przypisywane do jednostki, która ma już przypisaną rolę jednostki usługi i loguje się do aplikacji Microsoft Entra.

Aby upewnić się, że te role zostały dodane, wykonaj następujący krok:

Przejdź do obszaru Kontrola dostępu przestrzeni nazw centrum> zdarzeń(IAM)>Dodawanie i weryfikowanie w obszarze Przypisania ról.

Sekcja jednostka usługi rejestracji aplikacji w witrynie Microsoft Azure Portal

Konfigurowanie usługi Event Hubs

Opcja 1:

Możesz utworzyć centrum zdarzeń w przestrzeni nazw, a wszystkie typy zdarzeń (tabele) wybrane do wyeksportowania zostaną zapisane w tym centrum zdarzeń .

Opcja 2:

Zamiast eksportować wszystkie typy zdarzeń (tabele) do jednego centrum zdarzeń, można wyeksportować każdą tabelę do różnych centrów zdarzeń w przestrzeni nazw usługi Event Hubs (jedno centrum zdarzeń na typ zdarzenia).

W tej opcji usługa Microsoft Defender XDR utworzy dla Ciebie centrum zdarzeń.

Uwaga

Jeśli używasz przestrzeni nazw centrum zdarzeń, która nie jest częścią klastra centrum zdarzeń, możesz wybrać maksymalnie 10 typów zdarzeń (tabel) do wyeksportowania w poszczególnych zdefiniowanych ustawieniach eksportu ze względu na ograniczenie platformy Azure do 10 centrum zdarzeń na przestrzeń nazw centrum zdarzeń.

Przykład:

Sekcja centrum zdarzeń w witrynie Microsoft Azure Portal

Jeśli wybierzesz tę opcję, możesz przejść do sekcji Konfigurowanie usługi Microsoft Defender XDR w celu wysyłania tabel wiadomości e-mail .

Utwórz usługę Event Hubs w przestrzeni nazw, wybierając pozycję Centrum>zdarzeń+ Centrum zdarzeń.

Liczba partycji umożliwia zwiększenie przepływności za pośrednictwem równoległości, dlatego zaleca się zwiększenie tej liczby na podstawie oczekiwanego obciążenia. Zalecane są domyślne wartości przechowywania i przechwytywania komunikatów 1 i wyłączone.

Sekcja tworzenia centrum zdarzeń w witrynie Microsoft Azure Portal

W przypadku tych centrów zdarzeń (a nie przestrzeni nazw) należy skonfigurować zasady dostępu współdzielonego przy użyciu opcji Wyślij oświadczenia nasłuchiwania. Kliknij zasady dostępu >współdzielonego centrum zdarzeń>+ Dodaj, a następnie nadaj mu nazwę zasad (nie jest używana gdzie indziej), a następnie zaznacz pozycję Wyślij i nasłuchiwaj.

Strona Zasady dostępu współdzielonego w witrynie Microsoft Azure Portal

Konfigurowanie usługi Microsoft Defender XDR do wysyłania tabel wiadomości e-mail

Konfigurowanie usługi Microsoft Defender XDR send Email tables to Splunk via Event Hubs (Konfigurowanie tabel wysyłania wiadomości e-mail w usłudze Microsoft Defender XDR do aplikacji Splunk za pośrednictwem usługi Event Hubs)

  1. Zaloguj się do usługi Microsoft Defender XDR przy użyciu konta, które spełnia wszystkie następujące wymagania dotyczące roli:

    • Rola współautora na poziomie zasobu przestrzeni nazw usługi Event Hubs lub nowszej dla usługi Event Hubs, do których będziesz eksportować. Bez tego uprawnienia podczas próby zapisania ustawień zostanie wyświetlony błąd eksportu.

    • Rola administratora zabezpieczeń w dzierżawie powiązana z usługą Microsoft Defender XDR i platformą Azure.

      Strona Ustawienia portalu usługi Microsoft Defender

  2. Kliknij pozycję Eksportuj nieprzetworzone > dane +Dodaj.

    Teraz użyjesz danych, które zostały zarejestrowane powyżej.

    Nazwa: ta wartość jest lokalna i powinna być dowolną wartością działającą w twoim środowisku.

    Prześlij zdarzenia do centrum zdarzeń: zaznacz to pole wyboru.

    Identyfikator zasobu centrum zdarzeń: ta wartość to identyfikator zasobu przestrzeni nazw usługi Event Hubs, który został zapisany podczas konfigurowania usługi Event Hubs.

    Nazwa centrum zdarzeń: jeśli utworzono usługę Event Hubs w przestrzeni nazw usługi Event Hubs, wklej nazwę usługi Event Hubs zarejestrowaną powyżej.

    Jeśli zdecydujesz się zezwolić usłudze Microsoft Defender XDR na tworzenie centrów zdarzeń na typy zdarzeń (tabele), pozostaw to pole puste.

    Typy zdarzeń: wybierz zaawansowane tabele wyszukiwania zagrożeń, które chcesz przekazać do usługi Event Hubs, a następnie do aplikacji niestandardowej. Tabele alertów pochodzą z usługi Microsoft Defender XDR, tabele urządzeń pochodzą z usługi Microsoft Defender for Endpoint (EDR), a tabele poczty e-mail pochodzą z usługi Microsoft Defender dla usługi Office 365. Zdarzenia poczty e-mail rejestrują wszystkie transakcje poczty e-mail. Adres URL (bezpieczne linki), załącznik (bezpieczne załączniki) i zdarzenia po dostarczeniu (ZAP) są również rejestrowane i mogą być przyłączone do zdarzeń poczty e-mail w polu NetworkMessageId.

    Strona ustawień interfejsu API przesyłania strumieniowego w witrynie Microsoft Azure Portal

  3. Pamiętaj, aby kliknąć pozycję Prześlij.

Sprawdź, czy zdarzenia są eksportowane do usługi Event Hubs

Możesz sprawdzić, czy zdarzenia są wysyłane do usługi Event Hubs, uruchamiając podstawowe zapytanie zaawansowane wyszukiwania zagrożeń. Wybierz pozycję Wyszukiwanie zagrożeń> —zaawansowane zapytaniewyszukiwania zagrożeń> i wprowadź następujące zapytanie:

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

To zapytanie pokazuje, ile wiadomości e-mail odebrano w ciągu ostatniej godziny dołączonych do wszystkich innych tabel. Spowoduje to również wyświetlenie zdarzeń, które można wyeksportować do centrów zdarzeń. Jeśli ta liczba pokazuje wartość 0, nie zobaczysz żadnych danych wychodzących do usługi Event Hubs.

Zaawansowana strona wyszukiwania zagrożeń w witrynie Microsoft Azure Portal

Po sprawdzeniu, czy istnieją dane do wyeksportowania, możesz wyświetlić stronę Usługi Event Hubs, aby sprawdzić, czy komunikaty są przychodzące. Ten proces może potrwać do jednej godziny.

  1. Na platformie Azure przejdź do pozycji Centrum >zdarzeń Kliknij centrumzdarzeń>przestrzeni> nazw Kliknij centrum zdarzeń.
  2. W obszarze Przegląd przewiń w dół i na grafie Komunikaty powinny zostać wyświetlone komunikaty przychodzące. Jeśli nie widzisz żadnych wyników, nie będzie żadnych komunikatów do pozyskiwania przez aplikację niestandardową.

Strona Przegląd w witrynie Microsoft 365 Azure Portal

Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.