Share via


Konfigurera eventhubbar

Gäller för:

Obs!

Prova våra nya API:er med ms Graph-säkerhets-API. Läs mer på: Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn.

Lär dig hur du konfigurerar händelsehubbar så att de kan mata in händelser från Microsoft Defender XDR.

Konfigurera den nödvändiga resursprovidern i Event Hubs-prenumerationen

  1. Logga in på Azure-portalen.
  2. Välj Prenumerationer>{ Välj den prenumeration som händelsehubbarna ska distribueras till }>Resursprovidrar.
  3. Kontrollera om Microsoft.Insights-providern är registrerad. Annars registrerar du den.

Listan över tjänstleverantörer i Microsoft Azure Portal

Konfigurera Microsoft Entra appregistrering

Obs!

Du måste ha administratörsrollen eller Microsoft Entra ID måste anges så att icke-administratörer kan registrera appar. Du måste också ha rollen Ägare eller Administratör för användaråtkomst för att tilldela tjänstens huvudnamn en roll. Mer information finns i Skapa ett Microsoft Entra app &-tjänstens huvudnamn i portalen – Microsofts identitetsplattform | Microsoft Docs.

  1. Skapa en ny registrering (som skapar ett huvudnamn för tjänsten) i Microsoft Entra ID>Appregistreringar>Ny registrering.

  2. Fyll i formuläret med bara namnet (ingen omdirigerings-URI krävs).

    Visningsavsnittet för programnamn i Microsoft Azure Portal

    Avsnittet Översiktsinformation i Microsoft Azure Portal

  3. Skapa en hemlighet genom att klicka på Certifikat & hemligheter>Ny klienthemlighet:

    Avsnittet Klienthemlighet i Microsoft Azure Portal

Det här klienthemlighetsvärdet används av Microsoft Graph-API:er för att autentisera det här programmet som registreras.

Varning

Du kommer inte att kunna komma åt klienthemligheten igen, så se till att spara den.

Konfigurera Event Hubs-namnrymd

  1. Skapa ett Event Hubs-namnområde:

    till Event Hub > Lägg till och välj prisnivå, dataflödesenheter och Automatisk blåst (kräver standardpriser och under funktioner) som är lämpliga för den belastning du förväntar dig. Mer information finns i Priser – Event Hubs | Microsoft Azure.

    Obs!

    Du kan använda en befintlig händelsehubb, men dataflödet och skalningen anges på namnområdesnivå, så vi rekommenderar att du placerar en händelsehubb i ett eget namnområde.

    Avsnittet händelsehubbar i Microsoft Azure Portal

  2. Du behöver också resurs-ID:t för det här Event Hubs-namnområdet. Gå till Azure Event Hubs namnområdessidan > Egenskaper. Kopiera texten under Resurs-ID och registrera den för användning under avsnittet Microsoft 365-konfiguration nedan.

    Avsnittet egenskaper för händelsehubbar i Microsoft Azure Portal

Lägg till behörigheter

Du måste lägga till behörigheter till följande roller för entiteter som är involverade i datahantering i Event Hubs:

  • Deltagare: Behörigheterna som är relaterade till den här rollen läggs till i entiteten som loggar in på Microsoft Defender-portalen.
  • Läsare och Azure Event Hub-datamottagare: Behörigheterna som är relaterade till dessa roller tilldelas till entiteten som redan har tilldelats rollen som tjänsthuvudnamn och loggar in på Microsoft Entra-programmet.

Utför följande steg för att säkerställa att dessa roller har lagts till:

Gå till Event Hub Namespace>Access Control (IAM)>Lägg till och verifiera under Rolltilldelningar.

Ett avsnitt om tjänstens huvudnamn för programregistrering i Microsoft Azure Portal

Konfigurera Event Hubs

Alternativ 1:

Du kan skapa en händelsehubb i namnområdet och alla händelsetyper (tabeller) som du väljer att exportera skrivs till den här händelsehubben.

Alternativ 2:

I stället för att exportera alla händelsetyper (tabeller) till en händelsehubb kan du exportera varje tabell till olika händelsehubbar i Event Hubs-namnområdet (en händelsehubb per händelsetyp).

I det här alternativet skapar Microsoft Defender XDR Event Hubs åt dig.

Obs!

Om du använder ett Event Hub-namnområde som inte ingår i ett Event Hub-kluster kan du bara välja upp till 10 händelsetyper (tabeller) att exportera i varje exportinställningar som du definierar, på grund av en Azure-begränsning på 10 Händelsehubb per Event Hub-namnområde.

Till exempel:

Ett event hubs-avsnitt i Microsoft Azure Portal

Om du väljer det här alternativet kan du gå vidare till avsnittet Konfigurera Microsoft Defender XDR för att skicka e-posttabeller.

Skapa Event Hubs i namnområdet genom att välja Event Hub>+ Event Hub.

Antalet partitioner möjliggör mer dataflöde via parallellitet, så vi rekommenderar att du ökar det här antalet baserat på den belastning du förväntar dig. Standardvärdena för kvarhållning av meddelanden och avbildningar på 1 och Av rekommenderas.

Avsnittet Skapa händelsehubbar i Microsoft Azure Portal

För dessa Event Hubs (inte namnområde) måste du konfigurera en princip för delad åtkomst med Skicka, Lyssna anspråk. Klicka på principernaför delad åtkomst> i händelsehubben>+ Lägg till och ge den ett principnamn (används inte någon annanstans) och markera Skicka och lyssna.

Sidan Principer för delad åtkomst i Microsoft Azure Portal

Konfigurera Microsoft Defender XDR för att skicka e-posttabeller

Konfigurera Microsoft Defender XDR skicka Email-tabeller till Splunk via Event Hubs

  1. Logga in på Microsoft Defender XDR med ett konto som uppfyller alla följande rollkrav:

    • Deltagarrollen på Resursnivå för Event Hubs-namnrymd eller högre för de händelsehubbar som du ska exportera till. Utan den här behörigheten får du ett exportfel när du försöker spara inställningarna.

    • Global Admin- eller säkerhetsroll för Admin på klientorganisationen som är kopplad till Microsoft Defender XDR och Azure.

      Sidan Inställningar i Microsoft Defender-portalen

  2. Klicka på Raw Data Export > + Lägg till.

    Nu ska du använda de data som du registrerade ovan.

    Namn: Det här värdet är lokalt och bör vara det som fungerar i din miljö.

    Vidarebefordra händelser till händelsehubben: Markera den här kryssrutan.

    Resurs-ID för händelsehubb: Det här värdet är resurs-ID:t för Event Hubs-namnområdet som du registrerade när du konfigurerade Event Hubs.

    Händelsehubbnamn: Om du har skapat en händelsehubb i event hubs-namnområdet klistrar du in event hubs-namnet som du registrerade ovan.

    Om du väljer att låta Microsoft Defender XDR skapa händelsehubbar per händelsetyper (tabeller) åt dig lämnar du fältet tomt.

    Händelsetyper: Välj de avancerade jakttabeller som du vill vidarebefordra till Event Hubs och sedan vidare till din anpassade app. Aviseringstabeller kommer från Microsoft Defender XDR, enhetstabeller kommer från Microsoft Defender för Endpoint (EDR) och Email tabeller kommer från Microsoft Defender för Office 365. Email Händelser registrerar alla Email transaktioner. URL:en (säkra länkar), bifogad fil (säkra bifogade filer) och efterleveranshändelser (ZAP) registreras också och kan kopplas till Email-händelser i fältet NetworkMessageId.

    Inställningssidan för API för direktuppspelning i Microsoft Azure Portal

  3. Se till att klicka på Skicka.

Kontrollera att händelserna exporteras till Event Hubs

Du kan kontrollera att händelser skickas till Event Hubs genom att köra en grundläggande avancerad jaktfråga. Välj Jakt>avancerad jaktfråga> och ange följande fråga:

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

Den här frågan visar hur många e-postmeddelanden som tagits emot under den senaste timmen och som har kopplats till alla andra tabeller. Den visar dig också om du ser händelser som kan exporteras till händelsehubbarna. Om det här antalet visar 0 ser du inga data som går ut till Event Hubs.

Sidan avancerad jakt i Microsoft Azure Portal

När du har kontrollerat att det finns data att exportera kan du visa sidan Event Hubs för att kontrollera att meddelandena är inkommande. Den här processen kan ta upp till en timme.

  1. I Azure går du till Händelsehubb> Klicka pånamnområdeshändelsehubben>> Klicka på händelsehubben.
  2. Under Översikt rullar du nedåt och i diagrammet Meddelanden bör du se Inkommande meddelanden. Om du inte ser några resultat kommer det inte att finnas några meddelanden för din anpassade app att mata in.

Sidan Översikt i Microsoft 365 Azure Portal

Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.