Compartilhar via

Configurar o Microsoft Defender XDR para transmitir eventos de Investigação Avançada para o Hub de Eventos do Azure

  • Artigo

Aplica-se a:

Observação

Experimente as nossas novas APIs com a API de segurança do MS Graph. Saiba mais em: Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn.

Importante

Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.

Pré-requisitos

Antes de configurar o Microsoft Defender XDR para transmitir dados em fluxo para os Hubs de Eventos, certifique-se de que os seguintes pré-requisitos são cumpridos:

  1. Crie hubs de eventos (para obter informações, veja Configurar Hubs de Eventos).

  2. Criar um Espaço de Nomes dos Hubs de Eventos (para obter informações, veja Configurar o espaço de nomes dos Hubs de Eventos).

  3. Adicione permissões à entidade que tem os privilégios de um Contribuidor para que esta entidade possa exportar dados para os Hubs de Eventos. Para obter mais informações sobre como adicionar permissões, veja Adicionar permissões

Observação

A API de Transmissão em Fluxo pode ser integrada através dos Hubs de Eventos ou da Conta de Armazenamento do Azure.

Ativar a transmissão em fluxo de dados não processados

  1. No mínimo, inicie sessão no portal do Microsoft Defender como Administrador de Segurança .

Importante

A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.

  1. Aceda à página definições da API de Transmissão em Fluxo.

  2. Clique em Adicionar.

  3. Escolha um nome para as suas novas definições.

  4. Selecione Reencaminhar eventos para o Hub de Eventos do Azure.

  5. Pode selecionar se pretende exportar os dados de eventos para um único Hub de Eventos ou exportar cada tabela de eventos para um Hub de Eventos diferente no espaço de nomes dos Hubs de Eventos.

  6. Para exportar os dados do evento para um único Hub de Eventos, introduza o nome do Hub de Eventos e o ID do recurso do Hub de Eventos.

    Para obter o ID do recurso do Hub de Eventos, aceda à página do espaço de nomes dos Hubs de Eventos do Azure no separador >Propriedades do Azure> para copiar o texto em ID do Recurso:

    Um ID de recurso do Hub de Eventos

  7. Aceda aos tipos de eventos XDR suportados do Microsoft Defender na API de transmissão em fluxo de eventos para rever o estado de suporte dos tipos de eventos na API de Transmissão em Fluxo do Microsoft 365.

  8. Selecione os eventos que pretende transmitir em fluxo e clique em Guardar.

O esquema dos eventos no Hub de Eventos do Azure

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

  • Cada mensagem dos Hubs de Eventos nos Hubs de Eventos do Azure contém uma lista de registos.

  • Cada registo contém o nome do evento, a hora em que o Microsoft Defender XDR recebeu o evento, o inquilino ao qual pertence (só receberá eventos do seu inquilino) e o evento no formato JSON numa propriedade denominada "propriedades".

  • Para obter mais informações sobre o esquema dos eventos XDR do Microsoft Defender, veja Advanced Hunting overview (Descrição geral da Investigação Avançada).

  • Em Investigação Avançada, a tabela DeviceInfo tem uma coluna chamada MachineGroup que contém o grupo do dispositivo. Aqui, todos os eventos também serão decorados com esta coluna.

Mapeamento de tipos de dados

Para obter os tipos de dados das propriedades do evento, siga os seguintes passos:

  1. Inicie sessão no Microsoft Defender XDR e aceda à página Investigação Avançada.

  2. Execute a seguinte consulta para obter o mapeamento de tipos de dados para cada evento:

    {EventType}
| getschema
| project ColumnName, ColumnType

  • Eis um exemplo do evento Informações do Dispositivo:

    Uma consulta de exemplo para informações do dispositivo

Estimar a capacidade inicial do Hub de Eventos

A seguinte consulta de investigação avançada pode ajudar a fornecer uma estimativa aproximada do débito do volume de dados e da capacidade inicial do hub de eventos com base em eventos/seg e estimativa de MB/seg. Recomendamos que execute a consulta durante o horário comercial normal para capturar o débito "real".

let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60 
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec

Para verificar os diferentes limites do Hub de Eventos, veja Quota e limites dos Hubs de Eventos do Azure.

Monitorizar recursos criados

Pode monitorizar os recursos criados pela API de transmissão em fluxo com o Azure Monitor. Para obter mais informações, veja Exportação de dados da área de trabalho do Log Analytics no Azure Monitor.

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.