Прочитать на английском

Поделиться через


Настройка Центров событий

Область применения:

Примечание

Попробуйте наши новые API с помощью API безопасности MS Graph. Дополнительные сведения см. в статье Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn.

Узнайте, как настроить Центры событий, чтобы они могли принимать события из XDR в Microsoft Defender.

Настройка необходимого поставщика ресурсов в подписке центров событий

  1. Войдите на портал Azure.
  2. Выберите Подписки>{ Выберите подписку, в которые будут развернуты центры событий }>Поставщики ресурсов.
  3. Проверьте, зарегистрирован ли поставщик Microsoft.Insights . В противном случае зарегистрируйте его.

Страница списка поставщиков услуг на портале Microsoft Azure

Настройка регистрации приложений Microsoft Entra

Примечание

Необходимо иметь роль администратора или идентификатор Microsoft Entra, чтобы разрешить неадминистраторам регистрировать приложения. Для назначения роли субъекту-службе также требуется роль владельца или администратора доступа пользователей. Дополнительные сведения см. в статье Создание приложения Microsoft Entra & субъекта-службы на портале — платформа удостоверений Майкрософт | Документация Майкрософт.

  1. Создание новой регистрации (которая по сути создает субъект-службу) в Microsoft Entra ID>Регистрация приложений>Новая регистрация.

  2. Заполните форму только именем (URI перенаправления не требуется).

    Отображаемый раздел имени приложения на портале Microsoft Azure

    Раздел Обзор сведений на портале Microsoft Azure

  3. Создайте секрет, щелкнув Сертификаты & секреты>Новый секрет клиента:

    Раздел секрета клиента на портале Microsoft Azure

Это значение секрета клиента используется API Microsoft Graph для проверки подлинности регистрируемого приложения.

Предупреждение

Вы не сможете снова получить доступ к секрету клиента, поэтому обязательно сохраните его.

Настройка пространства имен Центров событий

  1. Создайте пространство имен Центров событий:

    Перейдите в раздел Добавление концентратора > событий и выберите ценовую категорию, единицы пропускной способности и автоматическое увеличение (требуется стандартная цена и в разделе функции), соответствующие ожидаемой нагрузке. Дополнительные сведения см. в разделе Цены — Центры событий | Microsoft Azure.

    Примечание

    Можно использовать существующий концентратор событий, но пропускная способность и масштабирование задаются на уровне пространства имен, поэтому рекомендуется разместить концентратор событий в собственном пространстве имен.

    Раздел центров событий на портале Microsoft Azure

  2. Вам также потребуется идентификатор ресурса этого пространства имен Центров событий. Перейдите на страницу > "Свойства" пространства имен Центров событий Azure. Скопируйте текст в разделе Идентификатор ресурса и запишите его для использования в разделе Конфигурация Microsoft 365 ниже.

    Раздел свойств центров событий на портале Microsoft Azure

Добавление разрешений

Необходимо добавить разрешения для следующих ролей для сущностей, участвующих в управлении данными Центров событий:

  • Участник. Разрешения, связанные с этой ролью, добавляются к сущности, которая входит на портал Microsoft Defender.
  • Читатель и приемник данных Центра событий Azure. Разрешения, связанные с этими ролями, назначаются сущности, которая уже назначена роль субъекта-службы и входит в приложение Microsoft Entra.

Чтобы убедиться, что эти роли добавлены, выполните следующие действия:

Перейдите в раздел Управление доступом к пространству имен>концентратора событий (IAM)>Добавление и проверка в разделе Назначения ролей.

Раздел субъекта-службы регистрации приложения на портале Microsoft Azure

Настройка Центров событий

Вариант 1.

Вы можете создать Центры событий в пространстве имен, и все типы событий (таблицы), выбранные для экспорта, будут записаны в этот концентратор событий.

Вариант 2.

Вместо экспорта всех типов событий (таблиц) в один концентратор событий можно экспортировать каждую таблицу в разные Центры событий в пространстве имен Центров событий (по одному концентратору событий на тип события).

В этом параметре XDR в Microsoft Defender будут созданы центры событий.

Примечание

Если вы используете пространство имен концентратора событий, которое не является частью кластера концентратора событий, вы сможете выбрать только до 10 типов событий (таблиц) для экспорта в каждом определяемых параметрах экспорта из-за ограничения Azure в 10 концентраторов событий на пространство имен концентратора событий.

Например:

Раздел центров событий на портале Microsoft Azure

При выборе этого параметра можно перейти к разделу Настройка XDR Microsoft Defender для отправки таблиц электронной почты .

Создайте Центры событий в пространстве имен, выбрав Концентратор> событий+ Концентратор событий.

Число секций обеспечивает большую пропускную способность за счет параллелизма, поэтому рекомендуется увеличить это число в зависимости от ожидаемой нагрузки. По умолчанию рекомендуется использовать значения 1 и выкл.

Раздел создания центров событий на портале Microsoft Azure

Для этих Центров событий (не пространства имен) необходимо настроить политику общего доступа с помощью отправки, прослушивания утверждений. Щелкнитеполитики> общего доступа центра> событий+ Добавить, а затем присвойте ему имя политики (не используется в другом месте) и установите флажок Отправить и прослушивать.

Страница

Настройка XDR в Microsoft Defender для отправки таблиц электронной почты

Настройка отправки таблиц электронной почты В Microsoft Defender XDR в Splunk через Центры событий

  1. Войдите в XDR в Microsoft Defender с учетной записью, которая соответствует всем следующим требованиям к роли:

    • Роль участника на уровне ресурса пространства имен Центров событий или выше для Центров событий, в которые вы будете экспортировать. Без этого разрешения при попытке сохранить параметры вы получите ошибку экспорта.

    • Роль администратора безопасности в клиенте, привязанном к XDR в Microsoft Defender и Azure.

      Страница

  2. Щелкните Экспорт > и добавление необработанных данных.

    Теперь вы будете использовать записанные выше данные.

    Имя. Это значение является локальным и должно быть тем, что работает в вашей среде.

    Переадресация событий в концентратор событий. Установите этот флажок.

    Идентификатор ресурса концентратора событий. Это значение представляет собой идентификатор ресурса пространства имен Центров событий, записанный при настройке Центров событий.

    Имя концентратора событий. Если вы создали Центры событий в пространстве имен Центров событий, вставьте имя Центров событий, записанное ранее.

    Если вы решили разрешить XDR в Microsoft Defender создавать центры событий для каждого типа событий (таблицы), оставьте это поле пустым.

    Типы событий. Выберите таблицы Расширенной охоты, которые нужно перенаправить в Центры событий, а затем в пользовательское приложение. Таблицы оповещений — из XDR в Microsoft Defender, таблицы устройств — из Microsoft Defender для конечной точки (EDR), а таблицы электронной почты — из Microsoft Defender для Office 365. События электронной почты записывают все транзакции электронной почты. URL-адрес (безопасные ссылки), вложение (безопасные вложения) и события после доставки (ZAP) также записываются и могут быть присоединены к событиям электронной почты в поле NetworkMessageId.

    Страница параметров API потоковой передачи на портале Microsoft Azure

  3. Убедитесь, что нажмите кнопку Отправить.

Убедитесь, что события экспортируются в Центры событий

Вы можете проверить, отправляются ли события в Центры событий, выполнив базовый запрос Расширенной охоты. Выберите Охота>расширенный запрос охоты> и введите следующий запрос:

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

Этот запрос показывает, сколько сообщений электронной почты было получено за последний час, присоединенных ко всем остальным таблицам. Кроме того, вы увидите, видите ли вы события, которые можно экспортировать в центры событий. Если в этом счетчике отображается значение 0, вы не увидите никаких данных, передаваемых в Центры событий.

Страница расширенной охоты на портале Microsoft Azure

Убедившись, что экспортируются данные, можно просмотреть страницу Центров событий, чтобы убедиться, что сообщения входящие. Этот процесс может занять до одного часа.

  1. В Azure перейдите в Концентратор> событий ЩелкнитеКонцентратор>событий пространства имен> Щелкните Концентратор событий.
  2. В разделе Обзор прокрутите вниз и на графе Сообщения вы увидите Входящие сообщения. Если результаты не отображаются, сообщения для пользовательского приложения не будут приниматься.

 Страница

Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender XDR Tech Community.