Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Obs!
Prova våra nya API:er med ms Graph-säkerhets-API. Läs mer på: Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn.
Lär dig hur du konfigurerar händelsehubbar så att de kan mata in händelser från Microsoft Defender XDR.
Konfigurera den nödvändiga resursprovidern i Event Hubs-prenumerationen
- Logga in på Azure-portalen.
- Välj Prenumerationer>{ Välj den prenumeration som händelsehubbarna ska distribueras till }>Resursprovidrar.
- Kontrollera om Microsoft.Insights-providern är registrerad. Annars registrerar du den.
Konfigurera Microsoft Entra appregistrering
Obs!
Du måste ha administratörsrollen eller Microsoft Entra ID måste anges så att icke-administratörer kan registrera appar. Du måste också ha rollen Ägare eller Administratör för användaråtkomst för att tilldela tjänstens huvudnamn en roll. Mer information finns i Skapa en Microsoft Entra app & tjänstens huvudnamn i portalen – Microsofts identitetsplattform | Microsoft Docs.
Skapa en ny registrering (som skapar ett huvudnamn för tjänsten) i Microsoft Entra ID>Appregistreringar>Ny registrering.
Fyll i formuläret med bara namnet (ingen omdirigerings-URI krävs).
Skapa en hemlighet genom att klicka på Certifikat & hemligheter>Ny klienthemlighet:
Det här klienthemlighetsvärdet används av Microsoft Graph-API:er för att autentisera det här programmet som registreras.
Varning
Du kommer inte att kunna komma åt klienthemligheten igen, så se till att spara den.
Konfigurera Event Hubs-namnrymd
Skapa ett Event Hubs-namnområde:
Gå till Event Hub > Lägg till och välj prisnivå, dataflödesenheter och Automatisk blåst (kräver standardpriser och under funktioner) som är lämpliga för den belastning du förväntar dig. Mer information finns i Priser – Event Hubs | Microsoft Azure.
Obs!
Du kan använda en befintlig händelsehubb, men dataflödet och skalningen anges på namnområdesnivå. Microsoft rekommenderar att du placerar en händelsehubb i ett eget namnområde.
Du behöver resurs-ID:t för det här Event Hubs-namnområdet. Gå till Azure Event Hubs namnområdessidan > Egenskaper. Kopiera texten under Resurs-ID och registrera den för användning under Microsoft 365-konfigurationen.
Lägg till behörigheter
Du måste lägga till behörigheter till följande roller för entiteter som är involverade i datahantering i Event Hubs:
- Deltagare: Behörigheterna som är relaterade till den här rollen läggs till i entiteten som loggar in på Microsoft Defender-portalen.
- Läsare och Azure Event Hub-datamottagare: Behörigheterna som är relaterade till dessa roller tilldelas till entiteten som redan har tilldelats rollen som tjänsthuvudnamn och loggar in på Microsoft Entra-programmet.
Utför följande steg för att säkerställa att dessa roller läggs till:
Gå till Event Hub Namespace>Access Control (IAM)>Lägg till och verifiera under Rolltilldelningar.
Konfigurera Event Hubs
Alternativ 1:
Du kan skapa händelsehubbar i namnområdet och alla händelsetyper (tabeller) som du väljer att exportera skrivs till den här händelsehubben.
Alternativ 2:
I stället för att exportera alla händelsetyper (tabeller) till en händelsehubb kan du exportera varje tabell till olika händelsehubbar i Event Hubs-namnområdet (en händelsehubb per händelsetyp).
I det här alternativet skapar Microsoft Defender XDR Event Hubs åt dig.
Obs!
Om du använder ett Event Hub-namnområde som inte ingår i ett Event Hub-kluster kan du bara välja upp till 10 händelsetyper (tabeller) att exportera i varje exportinställningar som du definierar, på grund av en Azure-begränsning på 10 Händelsehubb per Event Hub-namnområde.
Till exempel:
Om du väljer det här alternativet kan du gå vidare till avsnittet Konfigurera Microsoft Defender XDR för att skicka e-posttabeller.
Skapa Event Hubs i ditt namnområde genom att välja Event Hub>+ Event Hub.
Antalet partitioner möjliggör mer dataflöde via parallellitet, så vi rekommenderar att du ökar det här antalet baserat på den belastning du förväntar dig. Standardvärdena för kvarhållning av meddelanden och avbildningar på 1 och Av rekommenderas.
För dessa Event Hubs (inte namnområde) måste du konfigurera en princip för delad åtkomst med Skicka, Lyssna anspråk. Klicka på principernaför delad åtkomst> i händelsehubben>+ Lägg till och ge den ett principnamn (används inte någon annanstans) och markera Skicka och lyssna.
Konfigurera Microsoft Defender XDR för att skicka e-posttabeller
Konfigurera Microsoft Defender XDR skicka Email-tabeller till Splunk via Event Hubs
Logga in på Microsoft Defender XDR med ett konto som uppfyller alla följande rollkrav:
Deltagarrollen på Resursnivå för Event Hubs-namnrymd eller högre för de händelsehubbar som du exporterar till. Ett exportfel uppstår när du försöker spara inställningarna utan den här behörigheten.
Security Admin-rollen på klientorganisationen som är kopplad till Microsoft Defender XDR och Azure.
Klicka på Raw Data Export > + Lägg till.
Använd de data som du tidigare registrerade.
Namn: Det här värdet är lokalt och bör vara det som fungerar i din miljö.
Vidarebefordra händelser till händelsehubben: Markera den här kryssrutan.
Resurs-ID för händelsehubb: Det här värdet är resurs-ID:t för Event Hubs-namnområdet som du registrerade när du konfigurerade Event Hubs.
Namn på händelsehubb: Om du har skapat en händelsehubb i Event Hubs-namnområdet klistrar du in det Event Hubs-namn som du tidigare spelade in.
Om du väljer att låta Microsoft Defender XDR skapa händelsehubbar per händelsetyper (tabeller) åt dig lämnar du fältet tomt.
Händelsetyper: Välj de avancerade jakttabeller som du vill vidarebefordra till Event Hubs och sedan vidare till din anpassade app. Aviseringstabeller kommer från Microsoft Defender XDR, enhetstabeller kommer från Microsoft Defender för Endpoint (EDR) och Email tabeller kommer från Microsoft Defender för Office 365. Email Händelser registrerar alla Email transaktioner. URL:en (säkra länkar), bifogad fil (säkra bifogade filer) och efterleveranshändelser (ZAP) registreras också och kan kopplas till Email-händelser i fältet NetworkMessageId.
Se till att klicka på Skicka.
Kontrollera att händelserna exporteras till Event Hubs
Du kan kontrollera att händelser skickas till Event Hubs genom att köra en grundläggande avancerad jaktfråga. Välj Jakt>avancerad jaktfråga> och ange följande fråga:
EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count
Den här frågan visar hur många e-postmeddelanden som har tagits emot under den senaste timmen och som har kopplats till alla andra tabeller. Den visar också om du ser händelser som kan exporteras till händelsehubbarna. Om det här antalet visar 0 ser du inga data som går ut till Event Hubs.
När du har kontrollerat att det finns data att exportera kan du visa sidan Event Hubs för att kontrollera att meddelandena är inkommande. Den här processen kan ta upp till en timme.
- I Azure går du till Händelsehubb> Klicka pånamnområdeshändelsehubben>> Klicka på händelsehubben.
- Under Översikt rullar du nedåt och i diagrammet Meddelanden bör du se Inkommande meddelanden. Om du inte ser några resultat finns det inga meddelanden för din anpassade app att mata in.
Relaterade ämnen
Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.