Compartilhar via

Configurar os Hubs de Eventos

  • Artigo

Aplica-se a:

Observação

Experimente as nossas novas APIs com a API de segurança do MS Graph. Saiba mais em: Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn.

Saiba como configurar os Hubs de Eventos para que possam ingerir eventos a partir do Microsoft Defender XDR.

Configurar o Fornecedor de Recursos necessário na subscrição dos Hubs de Eventos

  1. Entre no portal do Azure.
  2. Selecione Subscrições>{ Selecione a subscrição em que os hubs de eventos serão implementados para }>Fornecedores de recursos.
  3. Verifique se o Fornecedor Microsoft.Insights está registado. Caso contrário, registe-o.

A página lista de fornecedores de serviços no portal do Microsoft Azure

Configurar o Registo da Aplicação Microsoft Entra

Observação

Tem de ter a função de Administrador ou o ID do Microsoft Entra tem de estar definido para permitir que os não Administradores registem aplicações. Também tem de ter uma função de Proprietário ou Administrador de Acesso de Utilizador para atribuir uma função ao principal de serviço. Para obter mais informações, consulte Criar uma aplicação Microsoft Entra & principal de serviço no portal – Plataforma de identidades da Microsoft | Microsoft Docs.

  1. Crie um novo registo (que cria inerentemente um principal de serviço) nosregistos> da Aplicação Microsoft Entra ID>Novo registo.

  2. Preencha o formulário apenas com o Nome (não é necessário nenhum URI de Redirecionamento).

    A secção de apresentação do nome da aplicação no portal do Microsoft Azure

    A secção Informações de descrição geral no portal do Microsoft Azure

  3. Crie um segredo ao clicar em Certificados & segredos>Novo segredo do cliente:

    A secção Segredo do cliente no portal do Microsoft Azure

Este valor de segredo do cliente é utilizado pelas APIs do Microsoft Graph para autenticar esta aplicação que está a ser registada.

Aviso

Não poderá voltar a aceder ao segredo do cliente, por isso certifique-se de que o guarda.

Configurar o espaço de nomes dos Hubs de Eventos

  1. Criar um Espaço de Nomes dos Hubs de Eventos:

    Aceda a Adicionar Hub > de Eventos e selecione o escalão de preço, as unidades de débito e a Inflação Automática (requer preços padrão e em funcionalidades) adequados à carga esperada. Para obter mais informações, veja Preços - Hubs de Eventos | Microsoft Azure.

    Observação

    Pode utilizar um hub de eventos existente, mas o débito e o dimensionamento estão definidos ao nível do espaço de nomes, pelo que é recomendado colocar um hub de eventos no seu próprio espaço de nomes.

    A secção hubs de eventos no portal do Microsoft Azure

  2. Também precisará do ID de Recurso deste Espaço de Nomes dos Hubs de Eventos. Aceda à página > Propriedades do espaço de nomes dos Hubs de Eventos do Azure. Copie o texto em ID do Recurso e registe-o para utilização durante a secção Configuração do Microsoft 365 abaixo.

    A secção de propriedades dos hubs de eventos no portal do Microsoft Azure

Adicionar permissões

Tem de adicionar permissões às seguintes funções a entidades envolvidas na gestão de dados dos Hubs de Eventos:

  • Contribuidor: as permissões relacionadas com esta função são adicionadas à entidade que inicia sessão no portal do Microsoft Defender.
  • Leitor e Recetor de dados do Hub de Eventos do Azure: as permissões relacionadas com estas funções são atribuídas à entidade a quem já foi atribuída a função de Principal de Serviço e inicia sessão na aplicação Microsoft Entra.

Para garantir que estas funções foram adicionadas, execute o seguinte passo:

Aceda a Controlo de Acesso ao Espaço de Nomes do Hub de Eventos>(IAM)>Adicionar e verificar em Atribuições de funções.

Uma secção do principal do serviço de registo de aplicações no portal do Microsoft Azure

Configurar Hubs de Eventos

Opção 1:

Pode criar um Hub de Eventos no seu Espaço de Nomes e todos os Tipos de Eventos (Tabelas) que selecionar para exportar serão escritos neste Hub de Eventos .

Opção 2:

Em vez de exportar todos os Tipos de Eventos (Tabelas) para um Hub de Eventos, pode exportar cada tabela para diferentes Hubs de Eventos dentro do Espaço de Nomes dos Hubs de Eventos (um Hub de Eventos por Tipo de Evento).

Nesta opção, o Microsoft Defender XDR irá criar Hubs de Eventos para si.

Observação

Se estiver a utilizar um Espaço de Nomes do Hub de Eventos que não faça parte de um Cluster do Hub de Eventos, só poderá escolher até 10 Tipos de Eventos (Tabelas) para exportar em cada Definições de Exportação que definir, devido a uma limitação do Azure de 10 Hubs de Eventos por Espaço de Nomes do Hub de Eventos.

Por exemplo:

Secção hubs de eventos no portal do Microsoft Azure

Se escolher esta opção, pode avançar para a secção Configurar o Microsoft Defender XDR para enviar tabelas de e-mail .

Crie Hubs de Eventos no Espaço de Nomes ao selecionar Hub > de Eventos+ Hub de Eventos.

A Contagem de Partições permite mais débito através do paralelismo, pelo que é recomendado aumentar este número com base na carga esperada. São recomendados os valores de Retenção e Captura de Mensagens Predefinidos de 1 e Desativado.

Uma secção de criação de hubs de eventos no portal do Microsoft Azure

Para estes Hubs de Eventos (não o espaço de nomes), terá de configurar uma Política de Acesso Partilhado com Enviar, Escutar Afirmações. Clique naspolíticas de acesso partilhado do Hub > de Eventos>+ Adicionar e, em seguida, atribua-lhe um Nome de política (não utilizado noutro local) e selecione Enviar e Escutar.

A página Políticas de acesso partilhado no portal do Microsoft Azure

Configurar o Microsoft Defender XDR para enviar tabelas de e-mail

Configurar o Microsoft Defender XDR para enviar tabelas de e-mail para o Splunk através dos Hubs de Eventos

  1. Inicie sessão no Microsoft Defender XDR com uma conta que cumpra todos os seguintes requisitos de função:

    • Função contribuidor ao nível do Recurso do Espaço de Nomes dos Hubs de Eventos ou superior para os Hubs de Eventos para os quais vai exportar. Sem esta permissão, receberá um erro de exportação quando tentar guardar as definições.

    • Função de Administrador de Segurança no inquilino associado ao Microsoft Defender XDR e ao Azure.

      A página Definições do portal do Microsoft Defender

  2. Clique em Exportação de Dados Não Processados > +Adicionar.

    Agora, irá utilizar os dados que registou acima.

    Nome: este valor é local e deve ser o que estiver a funcionar no seu ambiente.

    Reencaminhar eventos para o hub de eventos: selecione esta caixa de verificação.

    ID de Recurso do Hub de Eventos: este valor é o ID de Recurso do Espaço de Nomes dos Hubs de Eventos que registou quando configurou os Hubs de Eventos.

    Nome do Hub de Eventos: se tiver criado um Hub de Eventos dentro do Espaço de Nomes dos Hubs de Eventos, cole o nome dos Hubs de Eventos que registou acima.

    Se optar por permitir que o Microsoft Defender XDR crie Hubs de Eventos por Tipos de Eventos (Tabelas), deixe este campo vazio.

    Tipos de Eventos: selecione as tabelas de Investigação Avançada que pretende reencaminhar para os Hubs de Eventos e, em seguida, para a sua aplicação personalizada. As tabelas de alertas são do Microsoft Defender XDR, as tabelas Dispositivos são do Microsoft Defender para Endpoint (EDR) e as tabelas de e-mail são do Microsoft Defender para Office 365. Os Eventos de E-mail registam todas as Transações de E-mail. O URL (Ligações Seguras), o Anexo (Anexos Seguros) e os Eventos pós-entrega (ZAP) também são registados e podem ser associados aos Eventos de E-mail no campo NetworkMessageId.

    A página definições da API de Transmissão em Fluxo no portal do Microsoft Azure

  3. Certifique-se de que clica em Submeter.

Verifique se os eventos estão a ser exportados para os Hubs de Eventos

Pode verificar se os eventos estão a ser enviados para os Hubs de Eventos ao executar uma consulta básica de Investigação Avançada. Selecione Investigação>de ConsultaAvançada de Investigação> e introduza a seguinte consulta:

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

Esta consulta irá mostrar-lhe quantos e-mails foram recebidos na última hora associados a todas as outras tabelas. Também lhe mostrará se está a ver eventos que podem ser exportados para os hubs de eventos. Se esta contagem mostrar 0, não verá dados a sair para os Hubs de Eventos.

A página de investigação avançada no portal do Microsoft Azure

Depois de verificar que existem dados a exportar, pode ver a página Hubs de Eventos para verificar se as mensagens estão a receber. Este processo pode demorar até uma hora.

  1. No Azure, aceda a Hub > de Eventos Clique noHub> de Eventos do Espaço> de Nomes Clique no Hub de Eventos.
  2. Em Descrição geral, desloque-se para baixo e, no gráfico Mensagens, deverá ver Mensagens Recebidas. Se não vir resultados, não haverá mensagens para a sua aplicação personalizada ingerir.

A página Descrição geral no portal do Microsoft 365 do Azure

Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.