Поделиться через

Использование API потоковой передачи с Microsoft Defender для бизнеса

  • Статья

Если в вашей организации есть центр управления безопасностью (SOC), возможность использования API потоковой передачи Microsoft Defender для конечной точки доступна для Defender для бизнеса и Microsoft 365 бизнес премиум. API позволяет выполнять потоковую передачу данных, таких как файл устройства, реестр, сеть, события входа и многое другое, в одну из следующих служб:

  • Microsoft Sentinel — масштабируемое облачное решение, которое предоставляет возможности управления информационной безопасностью и событиями безопасности (SIEM) и оркестрации безопасности, автоматизации и реагирования (SOAR).
  • Центры событий Azure , современная платформа потоковой передачи больших данных и служба приема событий, которая может легко интегрироваться с другими службами Azure и Майкрософт, такими как Stream Analytics, Power BI и Служба сетки событий, а также с внешними службами, такими как Apache Spark.
  • Служба хранилища Azure — облачное решение Майкрософт для современных сценариев хранения данных с высокодоступным, масштабируемым, устойчивым и безопасным хранилищем для различных объектов данных в облаке.

С помощью API потоковой передачи можно использовать расширенную охоту и обнаружение атак с помощью Defender для бизнеса и Microsoft 365 бизнес премиум. API потоковой передачи позволяет SOC просматривать больше данных об устройствах, лучше понимать, как произошла атака, и принимать меры по повышению безопасности устройств.

Использование API потоковой передачи с Microsoft Sentinel

Примечание.

Microsoft Sentinel — это платная служба. Доступно несколько планов и вариантов ценообразования. См . раздел Цены на Microsoft Sentinel.

  1. Убедитесь, что Defender для бизнеса настроен и что устройства уже подключены. См. раздел Настройка и настройка Microsoft Defender для бизнеса.

  2. Create рабочую область Log Analytics, которую вы будете использовать с Sentinel. См. Create рабочей области Log Analytics.

  3. Подключение к Microsoft Sentinel. См. краткое руководство. Подключение Microsoft Sentinel.

  4. Включите соединитель Microsoft Defender XDR. См. статью Подключение данных из Microsoft Defender XDR к Microsoft Sentinel.

Использование API потоковой передачи с Центрами событий

Примечание.

Центры событий Azure требуется подписка Azure. Перед началом работы обязательно создайте концентратор событий в клиенте. Затем войдите в портал Azure, перейдите в раздел Подписки Ваши поставщики>>ресурсовподписки>зарегистрируйте в Microsoft.insights.

  1. Перейдите на портал Microsoft Defender и войдите как глобальный администратор или администратор безопасности.

  2. Перейдите на страницу Параметры экспорта данных.

  3. Выберите Добавить параметры экспорта данных.

  4. Выберите имя для новых параметров.

  5. Выберите Переадресация событий, чтобы Центры событий Azure.

  6. Введите имя Центров событий и идентификатор Центров событий.

    Примечание.

    Если оставить поле Имя Центров событий пустым, создается концентратор событий для каждой категории в выбранном пространстве имен. Если вы не используете выделенный кластер Центров событий, помните, что существует ограничение в 10 пространств имен Центров событий.

    Чтобы получить идентификатор Центров событий, перейдите на страницу пространства имен Центры событий Azure в портал Azure. На вкладке Свойства скопируйте текст в разделе Идентификатор.

  7. Выберите события для потоковой передачи, а затем нажмите кнопку Сохранить.

Схема событий в Центры событий Azure

Вот как выглядит схема событий в Центры событий Azure:

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

Каждое сообщение концентратора событий в Центры событий Azure содержит список записей. Каждая запись содержит имя события, время получения события в Defender для бизнеса, клиент, которому оно принадлежит (вы получаете события только из клиента), а также событие в формате JSON в свойстве с именем properties. Дополнительные сведения о схеме см. в статье Упреждающая охота на угрозы с помощью расширенной охоты в Microsoft Defender XDR.

Использование API потоковой передачи со службой хранилища Azure

Для службы хранилища Azure требуется подписка Azure. Перед началом работы обязательно создайте учетную запись хранения в клиенте. Затем войдите в клиент Azure и перейдите в раздел Подписки. Поставщики>>ресурсовподписки >зарегистрируйте в Microsoft.insights.

Включение потоковой передачи необработанных данных

  1. Перейдите на портал Microsoft Defender и войдите как глобальный администратор или администратор безопасности.

  2. Перейдите на страницу Параметры экспорта данных в Microsoft Defender XDR.

  3. Выберите Добавить параметры экспорта данных.

  4. Выберите имя для новых параметров.

  5. Выберите Переадресация событий в службу хранилища Azure.

  6. Введите идентификатор ресурса учетной записи хранения. Чтобы получить идентификатор ресурса учетной записи хранения, перейдите на страницу учетной записи хранения в портал Azure. Затем на вкладке Свойства скопируйте текст в разделе Идентификатор ресурса учетной записи хранения.

  7. Выберите события для потоковой передачи, а затем нажмите кнопку Сохранить.

Схема событий в учетной записи хранения Azure

Контейнер BLOB-объектов создается для каждого типа события. Схема каждой строки в большом двоичном объекте представляет собой следующий JSON-файл:

{
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

Каждый большой двоичный объект содержит несколько строк. Каждая строка содержит имя события, время получения события в Defender для бизнеса, клиент, которому оно принадлежит (вы получаете события только из клиента), а также событие в свойствах формата JSON. Дополнительные сведения о схеме событий Microsoft Defender для конечной точки см. в статье Упреждающая охота на угрозы с помощью расширенной охоты в Microsoft Defender XDR.

См. также