Use a API de streaming com Microsoft Defender para Empresas

Se sua organização tiver um SOC (Centro de Operações de Segurança), a capacidade de usar a API de streaming Microsoft Defender para Ponto de Extremidade estará disponível para o Defender para Empresas e Microsoft 365 Business Premium. A API permite que você transmita dados, como arquivo de dispositivo, registro, rede, eventos de entrada e muito mais para um dos seguintes serviços:

• O Microsoft Sentinel, uma solução escalonável e nativa da nuvem que fornece recursos siEM (gerenciamento de eventos e informações de segurança) e orquestração de segurança, automação e resposta (SOAR).
• Hubs de Eventos do Azure, uma plataforma de streaming de big data moderna e um serviço de ingestão de eventos que pode se integrar perfeitamente a outros serviços do Azure e da Microsoft, como Stream Analytics, Power BI e Grade de Eventos, juntamente com serviços externos como o Apache Spark.
• Armazenamento do Azure, solução de armazenamento em nuvem da Microsoft para cenários modernos de armazenamento de dados, com armazenamento altamente disponível, extremamente escalonável, durável e seguro para uma variedade de objetos de dados na nuvem.

Com a API de streaming, você pode usar a detecçãoavançada de caça e ataque com o Defender para Empresas e Microsoft 365 Business Premium. A API de streaming permite que os SOCs exibam mais dados sobre dispositivos, entendam melhor como ocorreu um ataque e tomem medidas para melhorar a segurança do dispositivo.

Usar a API de streaming com o Microsoft Sentinel

Observação

O Microsoft Sentinel é um serviço pago. Vários planos e opções de preços estão disponíveis. Confira Preços do Microsoft Sentinel.

1. Verifique se o Defender para Empresas está configurado e configurado e que os dispositivos já estão integrados. Consulte Configurar e configurar Microsoft Defender para Empresas.

2. Create um workspace do Log Analytics que você usará com o Sentinel. Consulte Create um workspace do Log Analytics.

3. A bordo do Microsoft Sentinel. Confira Início Rápido: Integração do Microsoft Sentinel.

4. Habilite o conector Microsoft Defender XDR. Consulte Conectar dados do Microsoft Defender XDR ao Microsoft Sentinel.

Usar a API de streaming com Hubs de Eventos

Observação

Hubs de Eventos do Azure requer uma assinatura do Azure. Antes de começar, crie um hub de eventos em seu locatário. Em seguida, entre no portal do Azure, acesse Assinaturas> SeuRegistro de Provedores> de Recursos deAssinatura>para Microsoft.insights.

1. Acesse o portal Microsoft Defender e entre como administrador global ou administrador de segurança.

2. Acesse a página Configurações de exportação de dados.

3. Selecione Adicionar configurações de exportação de dados.

4. Escolha um nome para suas novas configurações.

5. Escolha Encaminhar eventos para Hubs de Eventos do Azure.

6. Digite o nome dos Hubs de Eventos e a ID dos Hubs de Eventos.

   Observação

   Deixar o campo nome dos Hubs de Eventos vazio cria um hub de eventos para cada categoria no namespace selecionado. Se você não estiver usando um Cluster de Hubs de Eventos Dedicados, tenha em mente que há um limite de 10 namespaces dos Hubs de Eventos.

   Para obter a ID dos Hubs de Eventos, acesse sua página de namespace Hubs de Eventos do Azure no portal do Azure. Na guia Propriedades , copie o texto em ID.

7. Escolha os eventos que você deseja transmitir e selecione Salvar.

O esquema de eventos em Hubs de Eventos do Azure

Veja como é o esquema de eventos em Hubs de Eventos do Azure:

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

Cada mensagem do hub de eventos no Hubs de Eventos do Azure contém uma lista de registros. Cada registro contém o nome do evento, a hora em que o Defender para Empresas recebeu o evento, o locatário ao qual ele pertence (você obtém eventos somente do locatário) e o evento no formato JSON em uma propriedade chamada "propriedades". Para obter mais informações sobre o esquema, consulte Procurar proativamente ameaças com caça avançada em Microsoft Defender XDR.

Usar a API de streaming com o Armazenamento do Azure

O Armazenamento do Azure requer uma assinatura do Azure. Antes de começar, crie uma conta de armazenamento em seu locatário. Em seguida, entre no locatário do Azure e vá para Assinaturas> SeusProvedores> de Recursos deassinatura>Registrem-se no Microsoft.insights.

Habilitar o streaming de dados brutos

1. Acesse o portal Microsoft Defender e entre como administrador global ou administrador de segurança.

2. Acesse a página Configurações de exportação de dados no Microsoft Defender XDR.

3. Selecione Adicionar configurações de exportação de dados.

4. Escolha um nome para suas novas configurações.

5. Escolha Encaminhar eventos para o Armazenamento do Azure.

6. Digite sua ID do Recurso da Conta de Armazenamento. Para obter a ID do Recurso da Conta de Armazenamento, acesse a página da conta de armazenamento no portal do Azure. Em seguida, na guia Propriedades , copie o texto em ID do recurso da conta de armazenamento.

7. Escolha os eventos que você deseja transmitir e selecione Salvar.

O esquema de eventos na conta de Armazenamento do Azure

Um contêiner de blob é criado para cada tipo de evento. O esquema de cada linha em um blob é o seguinte arquivo JSON:

{
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

Cada blob contém várias linhas. Cada linha contém o nome do evento, a hora em que o Defender para Empresas recebeu o evento, o locatário ao qual ele pertence (você obtém eventos somente do locatário) e o evento em propriedades de formato JSON. Para obter mais informações sobre o esquema de eventos Microsoft Defender para Ponto de Extremidade, consulte Proativamente procurar ameaças com caça avançada em Microsoft Defender XDR.

Confira também

• API de Streaming de Dados Brutos no Defender para Ponto de Extremidade