Настройка Microsoft Defender XDR потоковой передачи событий Расширенной охоты в Концентратор событий Azure
Область применения:
Примечание.
Попробуйте наши новые API с помощью API безопасности MS Graph. Дополнительные сведения см. в статье Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn.
Важно!
Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.
Предварительные условия
Перед настройкой Microsoft Defender XDR для потоковой передачи данных в Центры событий убедитесь, что выполнены следующие предварительные требования.
Создание Центров событий (дополнительные сведения см. в разделе Настройка Центров событий).
Создание пространства имен Центров событий (дополнительные сведения см. в разделе Настройка пространства имен Центров событий).
Добавьте разрешения для сущности, которая имеет права участника , чтобы эта сущность могла экспортировать данные в Центры событий. Дополнительные сведения о добавлении разрешений см. в разделе Добавление разрешений.
Примечание.
API потоковой передачи можно интегрировать с помощью Центров событий или учетной записи хранения Azure.
Включение потоковой передачи необработанных данных
- Войдите на портал Microsoft Defender как минимум в качестве администратора безопасности.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Перейдите на страницу параметров API потоковой передачи.
Щелкните Добавить.
Выберите имя для новых параметров.
Выберите Переадресация событий в Концентратор событий Azure.
Вы можете выбрать, хотите ли вы экспортировать данные событий в один концентратор событий или экспортировать каждую таблицу событий в разные Центры событий в пространстве имен Центров событий.
Чтобы экспортировать данные событий в один концентратор событий, введите имя концентратора событий и идентификатор ресурса пространства имен концентратора событий.
Чтобы получить идентификатор ресурса пространства имен концентратора событий, перейдите на страницу пространства имен Центры событий Azure на вкладке >"СвойстваAzure>", скопируйте текст в разделе Идентификатор ресурса:
Перейдите в раздел Поддерживаемые типы событий Microsoft Defender XDR в API потоковой передачи событий, чтобы просмотреть состояние поддержки типов событий в API потоковой передачи Microsoft 365.
Выберите события для потоковой передачи и нажмите кнопку Сохранить.
Схема событий в Концентраторе событий Azure
{
"records": [
{
"time": "<The time Microsoft Defender XDR received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
}
...
]
}
Каждое сообщение Центров событий в Центры событий Azure содержит список записей.
Каждая запись содержит имя события, время, Microsoft Defender XDR получено событие, клиент, которому оно принадлежит (события будут получены только от клиента), а также событие в формате JSON в свойстве с именем properties.
Дополнительные сведения о схеме событий Microsoft Defender XDR см. в статье Обзор расширенной охоты.
В разделе Расширенная охота таблица DeviceInfo содержит столбец MachineGroup , содержащий группу устройства. Здесь каждое событие также будет украшено этим столбцом.
Сопоставление типов данных
Чтобы получить типы данных для свойств события, сделайте следующее:
Войдите в Microsoft Defender XDR и перейдите на страницу Расширенная охота.
Выполните следующий запрос, чтобы получить сопоставление типов данных для каждого события:
{EventType} | getschema | project ColumnName, ColumnType
Оценка начальной емкости концентратора событий
Приведенный ниже расширенный запрос охоты может предоставить приблизительную оценку пропускной способности объема данных и начальной емкости концентратора событий на основе событий в секунду и предполагаемого МБ/с. Мы рекомендуем выполнять запрос в обычные рабочие часы, чтобы получить "реальную" пропускную способность.
let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec
Чтобы проверка различные ограничения концентратора событий, ознакомьтесь с Центры событий Azure квотами и ограничениями.
Мониторинг созданных ресурсов
Вы можете отслеживать ресурсы, созданные API потоковой передачи, с помощью Azure Monitor. Дополнительные сведения см. в статье Экспорт данных рабочей области Log Analytics в Azure Monitor.
Статьи по теме
Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn
Поддерживаемые типы событий Microsoft Defender XDR в API потоковой передачи событий
Stream Microsoft Defender XDR событий в учетную запись хранения Azure
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.