Läs på engelska

Dela via


Konfigurera eventhubbar

Gäller för:

Anteckning

Prova våra nya API:er med ms Graph-säkerhets-API. Läs mer på: Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn.

Lär dig hur du konfigurerar händelsehubbar så att de kan mata in händelser från Microsoft Defender XDR.

Konfigurera den nödvändiga resursprovidern i Event Hubs-prenumerationen

  1. Logga in på Azure-portalen.
  2. Välj Prenumerationer>{ Välj den prenumeration som händelsehubbarna ska distribueras till }>Resursprovidrar.
  3. Kontrollera om Microsoft.Insights-providern är registrerad. Annars registrerar du den.

Listan över tjänstleverantörer i Microsoft Azure-portalen

Konfigurera Appregistrering för Microsoft Entra

Anteckning

Du måste ha administratörsrollen eller så måste Microsoft Entra-ID anges så att icke-administratörer kan registrera appar. Du måste också ha rollen Ägare eller Administratör för användaråtkomst för att tilldela tjänstens huvudnamn en roll. Mer information finns i Skapa en Microsoft Entra-app & tjänstens huvudnamn i portalen – Microsofts identitetsplattform | Microsoft Docs.

  1. Skapa en ny registrering (som skapar ett huvudnamn för tjänsten) i Microsoft Entra ID>Appregistreringar>Ny registrering.

  2. Fyll i formuläret med bara namnet (ingen omdirigerings-URI krävs).

    Visningsavsnittet för programnamn i Microsoft Azure-portalen

    Avsnittet Översiktsinformation i Microsoft Azure-portalen

  3. Skapa en hemlighet genom att klicka på Certifikat & hemligheter>Ny klienthemlighet:

    Avsnittet Klienthemlighet i Microsoft Azure-portalen

Det här klienthemlighetsvärdet används av Microsoft Graph-API:er för att autentisera det här programmet som registreras.

Varning

Du kommer inte att kunna komma åt klienthemligheten igen, så se till att spara den.

Konfigurera Event Hubs-namnrymd

  1. Skapa ett Event Hubs-namnområde:

    till Event Hub > Lägg till och välj prisnivå, dataflödesenheter och Automatisk blåst (kräver standardpriser och under funktioner) som är lämpliga för den belastning du förväntar dig. Mer information finns i Priser – Event Hubs | Microsoft Azure.

    Anteckning

    Du kan använda en befintlig händelsehubb, men dataflödet och skalningen anges på namnområdesnivå, så vi rekommenderar att du placerar en händelsehubb i ett eget namnområde.

    Avsnittet händelsehubbar i Microsoft Azure-portalen

  2. Du behöver också resurs-ID:t för det här Event Hubs-namnområdet. Gå till azure Event Hubs-namnområdessidan > Egenskaper. Kopiera texten under Resurs-ID och registrera den för användning under avsnittet Microsoft 365-konfiguration nedan.

    Avsnittet egenskaper för händelsehubbar i Microsoft Azure-portalen

Lägg till behörigheter

Du måste lägga till behörigheter till följande roller för entiteter som är involverade i datahantering i Event Hubs:

  • Deltagare: Behörigheterna som är relaterade till den här rollen läggs till i entiteten som loggar in på Microsoft Defender-portalen.
  • Läsare och Azure Event Hub-datamottagare: Behörigheterna som är relaterade till dessa roller tilldelas till entiteten som redan har tilldelats rollen som tjänstens huvudnamn och loggar in i Microsoft Entra-programmet.

Utför följande steg för att säkerställa att dessa roller har lagts till:

Gå till Event Hub Namespace>Access Control (IAM)>Lägg till och verifiera under Rolltilldelningar.

Ett avsnitt om tjänstens huvudnamn för programregistrering i Microsoft Azure-portalen

Konfigurera Event Hubs

Alternativ 1:

Du kan skapa en händelsehubb i namnområdet och alla händelsetyper (tabeller) som du väljer att exportera skrivs till den här händelsehubben.

Alternativ 2:

I stället för att exportera alla händelsetyper (tabeller) till en händelsehubb kan du exportera varje tabell till olika händelsehubbar i Event Hubs-namnområdet (en händelsehubb per händelsetyp).

I det här alternativet skapar Microsoft Defender XDR Event Hubs åt dig.

Anteckning

Om du använder ett Event Hub-namnområde som inte ingår i ett Event Hub-kluster kan du bara välja upp till 10 händelsetyper (tabeller) att exportera i varje exportinställningar som du definierar, på grund av en Azure-begränsning på 10 Händelsehubb per Event Hub-namnområde.

Till exempel:

Ett event hubs-avsnitt i Microsoft Azure-portalen

Om du väljer det här alternativet kan du gå vidare till avsnittet Konfigurera Microsoft Defender XDR för att skicka e-posttabeller .

Skapa Event Hubs i ditt namnområde genom att välja Event Hub>+ Event Hub.

Antalet partitioner möjliggör mer dataflöde via parallellitet, så vi rekommenderar att du ökar det här antalet baserat på den belastning du förväntar dig. Standardvärdena för kvarhållning av meddelanden och avbildningar på 1 och Av rekommenderas.

Avsnittet skapa händelsehubbar i Microsoft Azure-portalen

För dessa Event Hubs (inte namnområde) måste du konfigurera en princip för delad åtkomst med Skicka, Lyssna anspråk. Klicka på principernaför delad åtkomst> i händelsehubben>+ Lägg till och ge den ett principnamn (används inte någon annanstans) och markera Skicka och lyssna.

Sidan Principer för delad åtkomst i Microsoft Azure-portalen

Konfigurera Microsoft Defender XDR för att skicka e-posttabeller

Konfigurera Microsoft Defender XDR skicka e-posttabeller till Splunk via Event Hubs

  1. Logga in på Microsoft Defender XDR med ett konto som uppfyller alla följande rollkrav:

    • Deltagarrollen på Resursnivå för Event Hubs-namnrymd eller högre för de händelsehubbar som du ska exportera till. Utan den här behörigheten får du ett exportfel när du försöker spara inställningarna.

    • Säkerhetsadministratörsrollen för klientorganisationen som är kopplad till Microsoft Defender XDR och Azure.

      Sidan Inställningar i Microsoft Defender-portalen

  2. Klicka på Raw Data Export > + Lägg till.

    Nu ska du använda de data som du registrerade ovan.

    Namn: Det här värdet är lokalt och bör vara det som fungerar i din miljö.

    Vidarebefordra händelser till händelsehubben: Markera den här kryssrutan.

    Resurs-ID för händelsehubb: Det här värdet är resurs-ID:t för Event Hubs-namnområdet som du registrerade när du konfigurerade Event Hubs.

    Händelsehubbnamn: Om du har skapat en händelsehubb i event hubs-namnområdet klistrar du in event hubs-namnet som du registrerade ovan.

    Om du väljer att låta Microsoft Defender XDR skapa händelsehubbar per händelsetyper (tabeller) åt dig lämnar du det här fältet tomt.

    Händelsetyper: Välj de avancerade jakttabeller som du vill vidarebefordra till Event Hubs och sedan vidare till din anpassade app. Aviseringstabeller kommer från Microsoft Defender XDR, Enhetstabeller kommer från Microsoft Defender för Endpoint (EDR) och e-posttabeller kommer från Microsoft Defender för Office 365. E-posthändelser registrerar alla e-posttransaktioner. URL:en (säkra länkar), bifogade filer (säkra bifogade filer) och händelser efter leverans (ZAP) registreras också och kan kopplas till e-posthändelserna i fältet NetworkMessageId.

    Inställningssidan för API för direktuppspelning i Microsoft Azure-portalen

  3. Se till att klicka på Skicka.

Kontrollera att händelserna exporteras till Event Hubs

Du kan kontrollera att händelser skickas till Event Hubs genom att köra en grundläggande avancerad jaktfråga. Välj Jakt>avancerad jaktfråga> och ange följande fråga:

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

Den här frågan visar hur många e-postmeddelanden som tagits emot under den senaste timmen och som har kopplats till alla andra tabeller. Den visar dig också om du ser händelser som kan exporteras till händelsehubbarna. Om det här antalet visar 0 ser du inga data som går ut till Event Hubs.

Sidan avancerad jakt i Microsoft Azure-portalen

När du har kontrollerat att det finns data att exportera kan du visa sidan Event Hubs för att kontrollera att meddelandena är inkommande. Den här processen kan ta upp till en timme.

  1. I Azure går du till Händelsehubb> Klicka pånamnområdeshändelsehubben>> Klicka på händelsehubben.
  2. Under Översikt rullar du nedåt och i diagrammet Meddelanden bör du se Inkommande meddelanden. Om du inte ser några resultat kommer det inte att finnas några meddelanden för din anpassade app att mata in.

 Sidan Översikt i Microsoft 365 Azure-portalen

Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.