Skapa en ny registrering (som skapar ett huvudnamn för tjänsten) i Microsoft Entra ID>Appregistreringar>Ny registrering.
Fyll i formuläret med bara namnet (ingen omdirigerings-URI krävs).
Skapa en hemlighet genom att klicka på Certifikat & hemligheter>Ny klienthemlighet:
Det här klienthemlighetsvärdet används av Microsoft Graph-API:er för att autentisera det här programmet som registreras.
Varning
Du kommer inte att kunna komma åt klienthemligheten igen, så se till att spara den.
Konfigurera Event Hubs-namnrymd
Skapa ett Event Hubs-namnområde:
Gå till Event Hub > Lägg till och välj prisnivå, dataflödesenheter och Automatisk blåst (kräver standardpriser och under funktioner) som är lämpliga för den belastning du förväntar dig. Mer information finns i Priser – Event Hubs | Microsoft Azure.
Anteckning
Du kan använda en befintlig händelsehubb, men dataflödet och skalningen anges på namnområdesnivå, så vi rekommenderar att du placerar en händelsehubb i ett eget namnområde.
Du behöver också resurs-ID:t för det här Event Hubs-namnområdet. Gå till azure Event Hubs-namnområdessidan > Egenskaper. Kopiera texten under Resurs-ID och registrera den för användning under avsnittet Microsoft 365-konfiguration nedan.
Lägg till behörigheter
Du måste lägga till behörigheter till följande roller för entiteter som är involverade i datahantering i Event Hubs:
Deltagare: Behörigheterna som är relaterade till den här rollen läggs till i entiteten som loggar in på Microsoft Defender-portalen.
Läsare och Azure Event Hub-datamottagare: Behörigheterna som är relaterade till dessa roller tilldelas till entiteten som redan har tilldelats rollen som tjänstens huvudnamn och loggar in i Microsoft Entra-programmet.
Utför följande steg för att säkerställa att dessa roller har lagts till:
Gå till Event Hub Namespace>Access Control (IAM)>Lägg till och verifiera under Rolltilldelningar.
Konfigurera Event Hubs
Alternativ 1:
Du kan skapa en händelsehubb i namnområdet och alla händelsetyper (tabeller) som du väljer att exportera skrivs till den här händelsehubben.
Alternativ 2:
I stället för att exportera alla händelsetyper (tabeller) till en händelsehubb kan du exportera varje tabell till olika händelsehubbar i Event Hubs-namnområdet (en händelsehubb per händelsetyp).
I det här alternativet skapar Microsoft Defender XDR Event Hubs åt dig.
Anteckning
Om du använder ett Event Hub-namnområde som inte ingår i ett Event Hub-kluster kan du bara välja upp till 10 händelsetyper (tabeller) att exportera i varje exportinställningar som du definierar, på grund av en Azure-begränsning på 10 Händelsehubb per Event Hub-namnområde.
Skapa Event Hubs i ditt namnområde genom att välja Event Hub>+ Event Hub.
Antalet partitioner möjliggör mer dataflöde via parallellitet, så vi rekommenderar att du ökar det här antalet baserat på den belastning du förväntar dig. Standardvärdena för kvarhållning av meddelanden och avbildningar på 1 och Av rekommenderas.
För dessa Event Hubs (inte namnområde) måste du konfigurera en princip för delad åtkomst med Skicka, Lyssna anspråk. Klicka på principernaför delad åtkomst> i händelsehubben>+ Lägg till och ge den ett principnamn (används inte någon annanstans) och markera Skicka och lyssna.
Konfigurera Microsoft Defender XDR för att skicka e-posttabeller
Konfigurera Microsoft Defender XDR skicka e-posttabeller till Splunk via Event Hubs
Deltagarrollen på Resursnivå för Event Hubs-namnrymd eller högre för de händelsehubbar som du ska exportera till. Utan den här behörigheten får du ett exportfel när du försöker spara inställningarna.
Säkerhetsadministratörsrollen för klientorganisationen som är kopplad till Microsoft Defender XDR och Azure.
Klicka på Raw Data Export > + Lägg till.
Nu ska du använda de data som du registrerade ovan.
Namn: Det här värdet är lokalt och bör vara det som fungerar i din miljö.
Vidarebefordra händelser till händelsehubben: Markera den här kryssrutan.
Resurs-ID för händelsehubb: Det här värdet är resurs-ID:t för Event Hubs-namnområdet som du registrerade när du konfigurerade Event Hubs.
Händelsehubbnamn: Om du har skapat en händelsehubb i event hubs-namnområdet klistrar du in event hubs-namnet som du registrerade ovan.
Om du väljer att låta Microsoft Defender XDR skapa händelsehubbar per händelsetyper (tabeller) åt dig lämnar du det här fältet tomt.
Händelsetyper: Välj de avancerade jakttabeller som du vill vidarebefordra till Event Hubs och sedan vidare till din anpassade app. Aviseringstabeller kommer från Microsoft Defender XDR, Enhetstabeller kommer från Microsoft Defender för Endpoint (EDR) och e-posttabeller kommer från Microsoft Defender för Office 365. E-posthändelser registrerar alla e-posttransaktioner. URL:en (säkra länkar), bifogade filer (säkra bifogade filer) och händelser efter leverans (ZAP) registreras också och kan kopplas till e-posthändelserna i fältet NetworkMessageId.
Se till att klicka på Skicka.
Kontrollera att händelserna exporteras till Event Hubs
Du kan kontrollera att händelser skickas till Event Hubs genom att köra en grundläggande avancerad jaktfråga. Välj Jakt>avancerad jaktfråga> och ange följande fråga:
EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count
Den här frågan visar hur många e-postmeddelanden som tagits emot under den senaste timmen och som har kopplats till alla andra tabeller. Den visar dig också om du ser händelser som kan exporteras till händelsehubbarna. Om det här antalet visar 0 ser du inga data som går ut till Event Hubs.
När du har kontrollerat att det finns data att exportera kan du visa sidan Event Hubs för att kontrollera att meddelandena är inkommande. Den här processen kan ta upp till en timme.
I Azure går du till Händelsehubb> Klicka pånamnområdeshändelsehubben>> Klicka på händelsehubben.
Under Översikt rullar du nedåt och i diagrammet Meddelanden bör du se Inkommande meddelanden. Om du inte ser några resultat kommer det inte att finnas några meddelanden för din anpassade app att mata in.
Lär dig att använda Azure Event Hubs för att bearbeta dataströmmar med hög volym på ett tillförlitligt sätt, så att du kan koda program till att skicka och ta emot meddelanden via hubben.