Använda API:et för direktuppspelning med Microsoft Defender för företag
Om din organisation har ett Security Operations Center (SOC) är möjligheten att använda Microsoft Defender för Endpoint api för direktuppspelning tillgänglig för Defender för företag och Microsoft 365 Business Premium. Med API:et kan du strömma data, till exempel enhetsfil, register, nätverk, inloggningshändelser och mer till någon av följande tjänster:
- Microsoft Sentinel, en skalbar, molnbaserad lösning som tillhandahåller funktioner för säkerhetsinformation och händelsehantering (SIEM) och säkerhetsorkestrering, automatisering och svar (SOAR).
- Azure Event Hubs, en modern plattform för stordataströmning och händelseinmatningstjänst som sömlöst kan integreras med andra Azure- och Microsoft-tjänster, till exempel Stream Analytics, Power BI och Event Grid, tillsammans med externa tjänster som Apache Spark.
- Azure Storage, Microsofts molnlagringslösning för moderna datalagringsscenarier, med hög tillgänglighet, massivt skalbar, beständig och säker lagring för en mängd olika dataobjekt i molnet.
Med API:et för direktuppspelning kan du använda avancerad jakt- och attackidentifiering med Defender för företag och Microsoft 365 Business Premium. Api:et för direktuppspelning gör det möjligt för SOC:er att visa mer data om enheter, bättre förstå hur en attack inträffade och vidta åtgärder för att förbättra enhetssäkerheten.
Använda API:et för direktuppspelning med Microsoft Sentinel
Obs!
Microsoft Sentinel är en betaltjänst. Det finns flera planer och prisalternativ. Se Priser för Microsoft Sentinel.
Kontrollera att Defender för företag har konfigurerats och att enheterna redan har registrerats. Se Konfigurera och konfigurera Microsoft Defender för företag.
Skapa en Log Analytics-arbetsyta som du använder med Sentinel. Se Skapa en Log Analytics-arbetsyta.
Registrera till Microsoft Sentinel. Se Snabbstart: Publicera Microsoft Sentinel.
Aktivera Microsoft Defender XDR-anslutningsappen. Se Ansluta data från Microsoft Defender XDR till Microsoft Sentinel.
Använda API:et för direktuppspelning med Event Hubs
Obs!
Azure Event Hubs kräver en Azure-prenumeration. Innan du börjar måste du skapa en händelsehubb i din klientorganisation. Logga sedan in på Azure Portal och gå till Prenumerationer>Din prenumerationsresursproviders>>registrerar sig för Microsoft.insights.
Gå till Microsoft Defender-portalen och logga in som global administratör eller säkerhetsadministratör.
Gå till sidan Inställningar för dataexport.
Välj Lägg till inställningar för dataexport.
Välj ett namn för de nya inställningarna.
Välj Vidarebefordra händelser för att Azure Event Hubs.
Skriv ditt Event Hubs-namn och ditt Event Hubs-ID.
Obs!
Om fältet Event Hubs-namn lämnas tomt skapas en händelsehubb för varje kategori i det valda namnområdet. Om du inte använder ett dedikerat Event Hubs-kluster bör du tänka på att det finns en gräns på 10 Event Hubs-namnområden.
Om du vill hämta ditt Event Hubs-ID går du till Azure Event Hubs namnområdessida i Azure Portal. På fliken Egenskaper kopierar du texten under ID.
Välj de händelser som du vill strömma och välj sedan Spara.
Schemat för händelser i Azure Event Hubs
Så här ser schemat för händelser i Azure Event Hubs ut:
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Varje händelsehubbmeddelande i Azure Event Hubs innehåller en lista med poster. Varje post innehåller händelsenamnet, den tid då Defender för företag tog emot händelsen, den klientorganisation som den tillhör (du hämtar händelser endast från din klientorganisation) och händelsen i JSON-format i en egenskap som kallas "egenskaper". Mer information om schemat finns i Proaktiv jakt efter hot med avancerad jakt i Microsoft Defender XDR.
Använda API:et för direktuppspelning med Azure Storage
Azure Storage kräver en Azure-prenumeration. Innan du börjar måste du skapa ett lagringskonto i din klientorganisation. Logga sedan in på din Azure-klientorganisation och gå till Prenumerationer>Dinprenumerationsresursproviders >>registrerar sig för Microsoft.insights.
Aktivera direktuppspelning av rådata
Gå till Microsoft Defender-portalen och logga in som global administratör eller säkerhetsadministratör.
Gå till sidan Inställningar för dataexport i Microsoft Defender XDR.
Välj Lägg till inställningar för dataexport.
Välj ett namn för de nya inställningarna.
Välj Vidarebefordra händelser till Azure Storage.
Skriv ditt resurs-ID för lagringskontot. Om du vill hämta ditt resurs-ID för lagringskontot går du till sidan Lagringskonto i Azure Portal. På fliken Egenskaper kopierar du sedan texten under Resurs-ID för lagringskonto.
Välj de händelser som du vill strömma och välj sedan Spara.
Schemat för händelser i Azure Storage-kontot
En blobcontainer skapas för varje händelsetyp. Schemat för varje rad i en blob är följande JSON-fil:
{
"time": "<The time WDATP received the event>"
"tenantId": "<Your tenant ID>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
Varje blob innehåller flera rader. Varje rad innehåller händelsenamnet, den tid då Defender för företag tog emot händelsen, den klientorganisation som den tillhör (du hämtar händelser endast från din klientorganisation) och händelsen i JSON-formategenskaper. Mer information om schemat för Microsoft Defender för Endpoint händelser finns i Proaktiv jakt efter hot med avancerad jakt i Microsoft Defender XDR.
Se även
- API för direktuppspelning av rådata i Defender för Endpoint