Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Если в вашей организации есть центр управления безопасностью (SOC), возможность использования API потоковой передачи Microsoft Defender для конечной точки доступна для Defender для бизнеса и Microsoft 365 бизнес премиум. API позволяет выполнять потоковую передачу данных, таких как файл устройства, реестр, сеть, события входа и многое другое, в одну из следующих служб:
- Microsoft Sentinel: масштабируемое облачное решение, которое предоставляет возможности управления информационной безопасностью и событиями безопасности (SIEM) и оркестрации безопасности, автоматизации и реагирования (SOAR).
- Центры событий Azure: современная платформа потоковой передачи больших данных и служба приема событий, которая может легко интегрироваться с другими Azure и службами Майкрософт. Например, Stream Аналитика, Power BI и Сетка событий, а также внешние службы, такие как Apache Spark.
- хранилище Azure: облачное решение Майкрософт для современных сценариев хранения данных с высокодоступным, масштабируемым, устойчивым и безопасным хранилищем для различных объектов данных в облаке.
С помощью API потоковой передачи можно использовать расширенную охоту и обнаружение атак с помощью Defender для бизнеса и Microsoft 365 бизнес премиум. API потоковой передачи позволяет центрам управления безопасностью просматривать дополнительные данные об устройствах, лучше понимать, как произошла атака, и принимать меры для повышения безопасности устройств.
Использование API потоковой передачи с Microsoft Sentinel
Примечание.
Microsoft Sentinel является платной услугой. Доступно несколько планов и вариантов ценообразования. См. Microsoft Sentinel цены.
Убедитесь, что Defender для бизнеса настроена и что устройства уже подключены. См. раздел Настройка и настройка Microsoft Defender для бизнеса.
Создайте рабочую область Log Analytics для использования с Microsoft Sentinel. См . статью Создание рабочей области Log Analytics.
Подключение к Microsoft Sentinel. См. краткое руководство. Подключение Microsoft Sentinel.
Включите соединитель Microsoft Defender XDR. См. раздел Подключение данных из Microsoft Defender XDR к Microsoft Sentinel.
Использование API потоковой передачи с Центрами событий
Примечание.
Центры событий Azure требуется Azure подписка. Перед началом работы обязательно создайте концентратор событий в организации. Затем войдите в портал Azure, перейдите в раздел Подписки Ваши поставщики>>ресурсовподписки>зарегистрируйте в Майкрософт.insights.
Перейдите на портал Microsoft Defender и выполните вход.
Перейдите на страницу Параметры экспорта данных.
Выберите Добавить параметры экспорта данных.
Выберите имя для новых параметров.
Выберите Переадресация событий, чтобы Центры событий Azure.
Введите имя Центров событий и идентификатор Центров событий.
Примечание.
Если оставить поле Имя Центров событий пустым, создается концентратор событий для каждой категории в выбранном пространстве имен. Если вы не используете выделенный кластер Центров событий, помните, что существует ограничение в 10 пространств имен Центров событий.
Чтобы получить идентификатор Центров событий, перейдите на страницу пространства имен Центры событий Azure в портал Azure. На вкладке Свойства скопируйте текст в разделе Идентификатор.
Выберите события для потоковой передачи, а затем нажмите кнопку Сохранить.
Схема событий в Центры событий Azure
Вот как выглядит схема событий в Центры событий Azure:
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the organization that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Каждое сообщение концентратора событий в Центры событий Azure содержит список записей. Каждая запись содержит имя события, время, Defender для бизнеса полученное событие, организацию, к которой оно принадлежит (вы получаете события только из своей организации), а также событие в формате JSON в свойстве с именем properties. Дополнительные сведения о схеме см. в статье Упреждающая охота на угрозы с помощью расширенной охоты в Microsoft Defender XDR.
Использование API потоковой передачи с хранилищем Azure
для хранилища Azure требуется подписка на Azure. Перед началом работы обязательно создайте учетную запись хранения в организации. Затем войдите в свою Azure организацию и перейдите в раздел Подписки. Поставщики>>ресурсовподписки >зарегистрируйте в Майкрософт.insights.
Включение потоковой передачи необработанных данных
Перейдите на портал Microsoft Defender и выполните вход.
Перейдите на страницу Параметры экспорта данных в Microsoft Defender XDR.
Выберите Добавить параметры экспорта данных.
Выберите имя для новых параметров.
Выберите Переадресация событий в хранилище Azure.
Введите идентификатор ресурса учетной записи хранения. Чтобы получить идентификатор ресурса учетной записи хранения, перейдите на страницу учетной записи хранения в портал Azure. Затем на вкладке Свойства скопируйте текст в разделе Идентификатор ресурса учетной записи хранения.
Выберите события для потоковой передачи, а затем нажмите кнопку Сохранить.
Схема событий в учетной записи хранения Azure
Контейнер BLOB-объектов создается для каждого типа события. Схема каждой строки в большом двоичном объекте представляет собой следующий JSON-файл:
{
"time": "<The time WDATP received the event>"
"tenantId": "<Your tenant ID>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
Каждый большой двоичный объект содержит несколько строк. Каждая строка содержит имя события, время получения события Defender для бизнеса, организацию, которой оно принадлежит (вы получаете события только из своей организации), а также событие в свойствах формата JSON. Дополнительные сведения о схеме событий Microsoft Defender для конечной точки см. в статье Упреждающая охота на угрозы с помощью расширенной охоты в Microsoft Defender XDR.
См. также
- API потоковой передачи необработанных данных в Defender для конечной точки
- Обзор управления и интерфейсов API