Utilizar a API de transmissão em fluxo com Microsoft Defender para Empresas

Se a sua organização tiver um Centro de Operações de Segurança (SOC), a capacidade de utilizar a API de transmissão em fluxo Microsoft Defender para Endpoint está disponível para o Defender para Empresas e Microsoft 365 Empresas Premium. A API permite-lhe transmitir dados em fluxo, como ficheiro de dispositivo, registo, rede, eventos de início de sessão e muito mais para um dos seguintes serviços:

• O Microsoft Sentinel, uma solução dimensionável nativa da cloud que fornece informações de segurança e gestão de eventos (SIEM) e capacidades de orquestração, automatização e resposta de segurança (SOAR).
• Hubs de Eventos do Azure, uma plataforma moderna de transmissão em fluxo de macrodados e um serviço de ingestão de eventos que pode ser totalmente integrado noutros serviços do Azure e da Microsoft, como o Stream Analytics, o Power BI e o Event Grid, juntamente com serviços externos como o Apache Spark.
• Armazenamento do Microsoft Azure, a solução de armazenamento na cloud da Microsoft para cenários de armazenamento de dados modernos, com armazenamento altamente disponível, extremamente dimensionável, durável e seguro para uma variedade de objetos de dados na cloud.

Com a API de transmissão em fluxo, pode utilizar a deteção avançada de ataques e investigação com o Defender para Empresas e Microsoft 365 Empresas Premium. A API de transmissão em fluxo permite aos SOCs ver mais dados sobre dispositivos, compreender melhor como ocorreu um ataque e tomar medidas para melhorar a segurança do dispositivo.

Utilizar a API de transmissão em fluxo com o Microsoft Sentinel

Nota

O Microsoft Sentinel é um serviço pago. Estão disponíveis vários planos e opções de preços. Veja Preços do Microsoft Sentinel.

1. Certifique-se de que o Defender para Empresas está configurado e configurado e que os dispositivos já estão integrados. Veja Configurar Microsoft Defender para Empresas.

2. Create uma área de trabalho do Log Analytics que irá utilizar com o Sentinel. Veja Create uma área de trabalho do Log Analytics.

3. Integração no Microsoft Sentinel. Veja Início Rápido: Integrar o Microsoft Sentinel.

4. Ative o conector Microsoft Defender XDR. Veja Ligar dados de Microsoft Defender XDR ao Microsoft Sentinel.

Utilizar a API de transmissão em fluxo com os Hubs de Eventos

Nota

Hubs de Eventos do Azure requer uma subscrição do Azure. Antes de começar, certifique-se de que cria um hub de eventos no seu inquilino. Em seguida, inicie sessão no portal do Azure, aceda a Subscrições> OsFornecedores> de Recursos dasubscrição>Registe-se em Microsoft.insights.

1. Aceda ao portal Microsoft Defender e inicie sessão como Administrador Global ou Administrador de Segurança.

2. Aceda à página Definições de exportação de dados.

3. Selecione Adicionar definições de exportação de dados.

4. Escolha um nome para as suas novas definições.

5. Selecione Reencaminhar eventos para Hubs de Eventos do Azure.

6. Escreva o nome dos Hubs de Eventos e o ID dos Hubs de Eventos.

   Nota

   Deixar o campo de nome dos Hubs de Eventos vazio cria um hub de eventos para cada categoria no espaço de nomes selecionado. Se não estiver a utilizar um Cluster de Hubs de Eventos Dedicado, tenha em atenção que existe um limite de 10 espaços de nomes dos Hubs de Eventos.

   Para obter o ID dos Hubs de Eventos, aceda à página do espaço de nomes Hubs de Eventos do Azure no portal do Azure. No separador Propriedades , copie o texto em ID.

7. Selecione os eventos que pretende transmitir em fluxo e, em seguida, selecione Guardar.

O esquema de eventos no Hubs de Eventos do Azure

Eis o aspeto do esquema dos eventos no Hubs de Eventos do Azure:

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

Cada mensagem do hub de eventos no Hubs de Eventos do Azure contém uma lista de registos. Cada registo contém o nome do evento, a hora em que o Defender para Empresas recebeu o evento, o inquilino ao qual pertence (obtém eventos apenas do seu inquilino) e o evento no formato JSON numa propriedade denominada "propriedades". Para obter mais informações sobre o esquema, veja Proativamente investigar ameaças com investigação avançada no Microsoft Defender XDR.

Utilizar a API de transmissão em fluxo com o Armazenamento do Azure

O Armazenamento do Azure requer uma subscrição do Azure. Antes de começar, certifique-se de que cria uma conta de Armazenamento no seu inquilino. Em seguida, inicie sessão no inquilino do Azure e aceda a Subscrições> OsFornecedores> de Recursos dasubscrição>Registe-se em Microsoft.insights.

Ativar a transmissão em fluxo de dados não processados

1. Aceda ao portal Microsoft Defender e inicie sessão como Administrador Global ou Administrador de Segurança.

2. Aceda à página Definições de exportação de dados no Microsoft Defender XDR.

3. Selecione Adicionar definições de exportação de dados.

4. Escolha um nome para as suas novas definições.

5. Selecione Reencaminhar eventos para o Armazenamento do Azure.

6. Escreva o ID de Recurso da Conta de Armazenamento. Para obter o ID de Recurso da Conta de Armazenamento, aceda à página Conta de armazenamento no portal do Azure. Em seguida, no separador Propriedades , copie o texto em ID do recurso da conta de armazenamento.

7. Selecione os eventos que pretende transmitir em fluxo e, em seguida, selecione Guardar.

O esquema de eventos na conta de Armazenamento do Azure

É criado um contentor de blobs para cada tipo de evento. O esquema de cada linha num blob é o seguinte ficheiro JSON:

{
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

Cada blob contém várias linhas. Cada linha contém o nome do evento, a hora em que o Defender para Empresas recebeu o evento, o inquilino ao qual pertence (obtém eventos apenas do seu inquilino) e o evento nas propriedades do formato JSON. Para obter mais informações sobre o esquema de eventos Microsoft Defender para Endpoint, veja Proativamente investigar ameaças com investigação avançada em Microsoft Defender XDR.

Consulte também

• API de Transmissão em Fluxo de Dados Não Processados no Defender para Endpoint