Partilhar via

Configurar Microsoft Defender XDR para transmitir eventos de Investigação Avançada para o Hub de Eventos do Azure

  • Artigo

Aplica-se a:

Nota

Experimente as nossas novas APIs com a API de segurança do MS Graph. Saiba mais em: Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn.

Importante

Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.

Pré-requisitos

Antes de configurar Microsoft Defender XDR para transmitir dados para os Hubs de Eventos, certifique-se de que os seguintes pré-requisitos são cumpridos:

  1. Crie hubs de eventos (para obter informações, veja Configurar Hubs de Eventos).

  2. Criar um Espaço de Nomes dos Hubs de Eventos (para obter informações, veja Configurar o espaço de nomes dos Hubs de Eventos).

  3. Adicione permissões à entidade que tem os privilégios de um Contribuidor para que esta entidade possa exportar dados para os Hubs de Eventos. Para obter mais informações sobre como adicionar permissões, veja Adicionar permissões

Nota

A API de Transmissão em Fluxo pode ser integrada através dos Hubs de Eventos ou da Conta de Armazenamento do Azure.

Ativar a transmissão em fluxo de dados não processados

  1. Inicie sessão no portal Microsoft Defender como Administrador de Segurança no mínimo.

Importante

A Microsoft recomenda que utilize funções com o menor número de permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.

  1. Aceda à página definições da API de Transmissão em Fluxo.

  2. Clique em Adicionar.

  3. Escolha um nome para as suas novas definições.

  4. Selecione Reencaminhar eventos para o Hub de Eventos do Azure.

  5. Pode selecionar se pretende exportar os dados de eventos para um único Hub de Eventos ou exportar cada tabela de eventos para um Hub de Eventos diferente no espaço de nomes dos Hubs de Eventos.

  6. Para exportar os dados do evento para um único Hub de Eventos, introduza o nome do Hub de Eventos e o ID de recurso do Espaço de Nomes do Hub de Eventos.

    Para obter o ID de recurso do Espaço de Nomes do Hub de Eventos, aceda à página Hubs de Eventos do Azure espaço de nomes no separador >Propriedades do Azure>, copie o texto em ID do Recurso:

    Um ID de recurso do Hub de Eventos

  7. Aceda aos tipos de eventos suportados Microsoft Defender XDR na API de transmissão em fluxo de eventos para rever o estado de suporte dos tipos de eventos na API de Transmissão em Fluxo do Microsoft 365.

  8. Selecione os eventos que pretende transmitir em fluxo e clique em Guardar.

O esquema dos eventos no Hub de Eventos do Azure

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

  • Cada mensagem dos Hubs de Eventos no Hubs de Eventos do Azure contém uma lista de registos.

  • Cada registo contém o nome do evento, a hora em que Microsoft Defender XDR recebido o evento, o inquilino ao qual pertence (só obterá eventos do seu inquilino) e o evento no formato JSON numa propriedade denominada "propriedades".

  • Para obter mais informações sobre o esquema de Microsoft Defender XDR eventos, veja Advanced Hunting overview (Descrição geral da Investigação Avançada).

  • Em Investigação Avançada, a tabela DeviceInfo tem uma coluna chamada MachineGroup que contém o grupo do dispositivo. Aqui, todos os eventos também serão decorados com esta coluna.

Mapeamento de tipos de dados

Para obter os tipos de dados das propriedades do evento, siga os seguintes passos:

  1. Inicie sessão no Microsoft Defender XDR e aceda à página Investigação Avançada.

  2. Execute a seguinte consulta para obter o mapeamento de tipos de dados para cada evento:

    {EventType}
| getschema
| project ColumnName, ColumnType

  • Eis um exemplo do evento Informações do Dispositivo:

    Uma consulta de exemplo para informações do dispositivo

Estimar a capacidade inicial do Hub de Eventos

A seguinte consulta de investigação avançada pode ajudar a fornecer uma estimativa aproximada do débito do volume de dados e da capacidade inicial do hub de eventos com base em eventos/seg e estimativa de MB/seg. Recomendamos que execute a consulta durante o horário comercial normal para capturar o débito "real".

let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60 
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec

Para verificar os diferentes limites do Hub de Eventos, veja Hubs de Eventos do Azure quota e limites.

Monitorizar recursos criados

Pode monitorizar os recursos criados pela API de transmissão em fluxo com o Azure Monitor. Para obter mais informações, veja Exportação de dados da área de trabalho do Log Analytics no Azure Monitor.

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.