Konfigurera Microsoft Defender XDR för att strömma Advanced Hunting-händelser till din Azure Event Hub

Gäller för:

• Microsoft Defender XDR

Obs!

Prova våra nya API:er med ms Graph-säkerhets-API. Läs mer på: Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn.

Viktigt

Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

Förhandskrav

Innan du konfigurerar Microsoft Defender XDR för att strömma data till Event Hubs kontrollerar du att följande krav är uppfyllda:

1. Skapa en händelsehubb (mer information finns i Konfigurera Event Hubs).

2. Skapa ett Event Hubs-namnområde (mer information finns i Konfigurera Event Hubs-namnområde).

3. Lägg till behörigheter till entiteten som har behörighet som deltagare så att den här entiteten kan exportera data till Event Hubs. Mer information om hur du lägger till behörigheter finns i Lägga till behörigheter

Obs!

API:et för direktuppspelning kan integreras antingen via Event Hubs eller Azure Storage-kontot.

Aktivera direktuppspelning av rådata

1. Logga in på Microsoft Defender portalen som säkerhetsadministratör minst.

Viktigt

Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

2. Gå till inställningssidan för API för direktuppspelning.

3. Klicka på Lägg till.

4. Välj ett namn för de nya inställningarna.

5. Välj Vidarebefordra händelser till Azure Event Hub.

6. Du kan välja om du vill exportera händelsedata till en enda händelsehubb eller exportera varje händelsetabell till olika händelsehubbar i event hubs-namnområdet.

7. Om du vill exportera händelsedata till en enda händelsehubb anger du händelsehubbens namn och resurs-ID för eventhubbens namnområde.

   Om du vill hämta resurs-ID:t för händelsehubbens namnområde går du till sidan Azure Event Hubs namnområde på fliken >Azure-egenskaper> och kopierar texten under Resurs-ID:

   

8. Gå till Microsoft Defender XDR händelsetyper som stöds i API:et för händelseströmning för att granska supportstatusen för händelsetyper i Microsoft 365 Streaming API.

9. Välj de händelser som du vill strömma och klicka på Spara.

Schemat för händelserna i Azure Event Hub

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

• Varje Event Hubs-meddelande i Azure Event Hubs innehåller en lista över poster.

• Varje post innehåller händelsenamnet, den tid Microsoft Defender XDR tog emot händelsen, den klientorganisation den tillhör (du får bara händelser från din klientorganisation) och händelsen i JSON-format i en egenskap som kallas "egenskaper".

• Mer information om schemat för Microsoft Defender XDR händelser finns i Översikt över avancerad jakt.

• I Avancerad jakt har tabellen DeviceInfo en kolumn med namnet MachineGroup som innehåller enhetens grupp. Här kommer även varje händelse att dekoreras med den här kolumnen.

Mappning av datatyper

Utför följande steg för att hämta datatyperna för händelseegenskaper:

1. Logga in på Microsoft Defender XDR och gå till sidan Avancerad jakt.

2. Kör följande fråga för att hämta datatypernas mappning för varje händelse:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Här är ett exempel på händelsen Enhetsinformation:

  

Beräkna den första Event Hub-kapaciteten

Följande avancerade jaktfråga kan hjälpa dig att ge en ungefärlig uppskattning av datavolymgenomflödet och den inledande händelsehubbens kapacitet baserat på händelser/sek och uppskattad MB/s. Vi rekommenderar att du kör frågan under normal kontorstid för att samla in "verkligt" dataflöde.

let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60 
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec

Om du vill kontrollera de olika händelsehubbens gränser granskar du Azure Event Hubs kvot och gränser.

Övervaka skapade resurser

Du kan övervaka de resurser som skapas av API:et för direktuppspelning med hjälp av Azure Monitor. Mer information finns i Log Analytics-dataexport för arbetsytor i Azure Monitor.

Relaterade ämnen

• Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn

• Översikt över avancerad jakt

• Microsoft Defender XDR strömnings-API

• Microsoft Defender XDR händelsetyper som stöds i API för händelseströmning

• Stream Microsoft Defender XDR händelser till ditt Azure Storage-konto

• Azure Event Hubs dokumentation

• Felsöka anslutningsproblem – Azure Event Hubs

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.