Настройка Microsoft Defender XDR потоковой передачи событий Расширенной охоты в Концентратор событий Azure

Область применения:

• Microsoft Defender XDR

Примечание.

Попробуйте наши новые API с помощью API безопасности MS Graph. Дополнительные сведения см. в статье Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn.

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Предварительные условия

Перед настройкой Microsoft Defender XDR для потоковой передачи данных в Центры событий убедитесь, что выполнены следующие предварительные требования.

1. Create Центров событий (дополнительные сведения см. в разделе Настройка Центров событий).

2. Создание пространства имен Центров событий (дополнительные сведения см. в разделе Настройка пространства имен Центров событий).

3. Добавьте разрешения для сущности, которая имеет права участника , чтобы эта сущность могла экспортировать данные в Центры событий. Дополнительные сведения о добавлении разрешений см. в разделе Добавление разрешений.

Примечание.

API потоковой передачи можно интегрировать с помощью Центров событий или учетной записи хранения Azure.

Включение потоковой передачи необработанных данных

1. Войдите на портал Microsoft Defender в качестве глобального администратора или администратора безопасности.

2. Перейдите на страницу параметров API потоковой передачи.

3. Щелкните Добавить.

4. Выберите имя для новых параметров.

5. Выберите Переадресация событий в Концентратор событий Azure.

6. Вы можете выбрать, хотите ли вы экспортировать данные событий в один концентратор событий или экспортировать каждую таблицу событий в разные Центры событий в пространстве имен Центров событий.

7. Чтобы экспортировать данные событий в один концентратор событий, введите имя концентратора событий и идентификатор ресурса концентратора событий.

   Чтобы получить идентификатор ресурса Концентратора событий, перейдите на страницу пространства имен Центры событий Azure на вкладке >"СвойстваAzure>", скопируйте текст в разделе Идентификатор ресурса:

   

8. Перейдите в раздел Поддерживаемые типы событий Microsoft Defender XDR в API потоковой передачи событий, чтобы просмотреть состояние поддержки типов событий в API потоковой передачи Microsoft 365.

9. Выберите события для потоковой передачи и нажмите кнопку Сохранить.

Схема событий в Концентраторе событий Azure

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

• Каждое сообщение Центров событий в Центры событий Azure содержит список записей.

• Каждая запись содержит имя события, время, Microsoft Defender XDR получено событие, клиент, которому оно принадлежит (события будут получены только от клиента), а также событие в формате JSON в свойстве с именем properties.

• Дополнительные сведения о схеме событий Microsoft Defender XDR см. в статье Обзор расширенной охоты.

• В разделе Расширенная охота таблица DeviceInfo содержит столбец MachineGroup , содержащий группу устройства. Здесь каждое событие также будет украшено этим столбцом.

Сопоставление типов данных

Чтобы получить типы данных для свойств события, сделайте следующее:

1. Войдите в Microsoft Defender XDR и перейдите на страницу Расширенная охота.

2. Выполните следующий запрос, чтобы получить сопоставление типов данных для каждого события:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Ниже приведен пример события Сведений об устройстве:

  

Оценка начальной емкости концентратора событий

Следующий запрос Расширенной охоты может помочь предоставить приблизительную оценку пропускной способности объема данных и начальной емкости концентратора событий на основе событий в секунду и предполагаемого МБ/с. Мы рекомендуем выполнять запрос в обычные рабочие часы, чтобы получить "реальную" пропускную способность.

let bytes_ = 500;
union withsource=MDTables *
| where Timestamp > startofday(ago(6h))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60
| summarize avg(EPS), estimatedMBPerSec = (avg(EPS) * bytes_ ) / (1024*1024) by MDTables
| sort by toint(estimatedMBPerSec) desc

Мониторинг созданных ресурсов

Вы можете отслеживать ресурсы, созданные API потоковой передачи, с помощью Azure Monitor. Дополнительные сведения см. в статье Экспорт данных рабочей области Log Analytics в Azure Monitor.

Статьи по теме

• Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn

• Обзор расширенной охоты

• API потоковой передачи Microsoft Defender XDR

• Поддерживаемые типы событий Microsoft Defender XDR в API потоковой передачи событий

• Stream Microsoft Defender XDR событий в учетную запись хранения Azure

• документация по Центры событий Azure

• Устранение проблем с подключением — Центры событий Azure

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.