akış API'sini İş için Microsoft Defender ile kullanma
Kuruluşunuzda Güvenlik İşlemleri Merkezi (SOC) varsa, Uç Nokta için Microsoft Defender akış API'sini kullanma özelliği İş için Defender ve Microsoft 365 İş Ekstra için kullanılabilir. API, cihaz dosyası, kayıt defteri, ağ, oturum açma olayları ve daha fazlası gibi verileri aşağıdaki hizmetlerden birine akışla aktarmanızı sağlar:
- Microsoft Sentinel, güvenlik bilgileri ve olay yönetimi (SIEM) ile güvenlik düzenleme, otomasyon ve yanıt (SOAR) özellikleri sağlayan ölçeklenebilir, buluta özel bir çözüm.
- Azure Event Hubs, apache Spark gibi dış hizmetlerle birlikte Stream Analytics, Power BI ve Event Grid gibi diğer Azure ve Microsoft hizmetleriyle sorunsuz bir şekilde tümleştirilebilen modern bir büyük veri akışı platformu ve olay alımı hizmetidir.
- Microsoft'un modern veri depolama senaryoları için bulut depolama çözümü olan Azure Depolama, buluttaki çeşitli veri nesneleri için yüksek oranda kullanılabilir, yüksek oranda ölçeklenebilir, dayanıklı ve güvenli depolama alanı sunar.
Akış API'siyle, İş için Defender ve Microsoft 365 İş Ekstra ile gelişmiş tehdit avcılığı ve saldırı algılamayı kullanabilirsiniz. Akış API'leri, SOC'lerin cihazlar hakkında daha fazla veri görüntülemesine, bir saldırının nasıl gerçekleştiğini daha iyi anlamasına ve cihaz güvenliğini iyileştirmeye yönelik adımlar atlamasına olanak tanır.
Microsoft Sentinel ile akış API'sini kullanma
Not
Microsoft Sentinel ücretli bir hizmettir. Çeşitli planlar ve fiyatlandırma seçenekleri mevcuttur. Bkz. Microsoft Sentinel fiyatlandırması.
İş için Defender'ın ayarlandığından ve yapılandırıldığından ve cihazların zaten eklendiğinden emin olun. Bkz. İş için Microsoft Defender ayarlama ve yapılandırma.
Sentinel ile kullanacağınız log analytics çalışma alanını İçerik Oluşturucu. Bkz. Log Analytics çalışma alanını İçerik Oluşturucu.
Microsoft Sentinel'e ekleme. Bkz . Hızlı Başlangıç: Microsoft Sentinel'i ekleme.
Microsoft Defender XDR bağlayıcısını etkinleştirin. Bkz. Microsoft Defender XDR'dan Microsoft Sentinel'e veri bağlama.
Event Hubs ile akış API'sini kullanma
Not
Azure Event Hubs bir Azure aboneliği gerektirir. Başlamadan önce kiracınızda bir olay hub'ı oluşturduğunuzdan emin olun. Ardından Azure portal oturum açın, Abonelikler>Aboneliğiniz>Kaynak Sağlayıcılarının>Microsoft.insights'a kaydolması bölümüne gidin.
Microsoft Defender portalına gidin ve Genel Yönetici veya Güvenlik Yöneticisi olarak oturum açın.
Veri dışarı aktarma ayarları ekle'yi seçin.
Yeni ayarlarınız için bir ad seçin.
Olayları Azure Event Hubs ilet'i seçin.
Event Hubs adınızı ve Event Hubs kimliğinizi yazın.
Not
Event Hubs ad alanını boş bırakmak, seçili ad alanındaki her kategori için bir olay hub'ı oluşturur. Ayrılmış Event Hubs Kümesi kullanmıyorsanız 10 Event Hubs ad alanı sınırı olduğunu unutmayın.
Event Hubs Kimliğinizi almak için Azure portal Azure Event Hubs ad alanı sayfanıza gidin. Özellikler sekmesinde, Kimliğin altındaki metni kopyalayın.
Akış yapmak istediğiniz olayları seçin ve ardından Kaydet'i seçin.
Azure Event Hubs'daki olayların şeması
Azure Event Hubs'daki olayların şeması şöyle görünür:
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Azure Event Hubs'deki her olay hub'ı iletisi bir kayıt listesi içerir. Her kayıt olay adını, İş için Defender'ın olayı aldığı zamanı, ait olduğu kiracıyı (yalnızca kiracınızdan olayları alırsınız) ve olayı "properties" adlı bir özellikte JSON biçiminde içerir. Şema hakkında daha fazla bilgi için bkz. Microsoft Defender XDR'da gelişmiş avcılık ile tehditleri proaktif olarak avlama.
Azure Depolama ile akış API'sini kullanma
Azure Depolama için bir Azure aboneliği gerekir. Başlamadan önce kiracınızda bir Depolama hesabı oluşturduğunuzdan emin olun. Ardından Azure kiracınızda oturum açın ve Abonelikler>Aboneliğiniz>Kaynak Sağlayıcılarının>Microsoft.insights'a kaydolması bölümüne gidin.
Ham veri akışını etkinleştirme
Microsoft Defender portalına gidin ve Genel Yönetici veya Güvenlik Yöneticisi olarak oturum açın.
Microsoft Defender XDR'da Veri dışarı aktarma ayarları sayfasına gidin.
Veri dışarı aktarma ayarları ekle'yi seçin.
Yeni ayarlarınız için bir ad seçin.
Olayları Azure Depolama'ya ilet'i seçin.
Depolama Hesabı Kaynak Kimliğinizi yazın. Depolama Hesabı Kaynak Kimliğinizi almak için Azure portal Depolama hesabı sayfanıza gidin. Ardından , Özellikler sekmesinde Depolama hesabı kaynak kimliği altındaki metni kopyalayın.
Akış yapmak istediğiniz olayları seçin ve ardından Kaydet'i seçin.
Azure Depolama hesabındaki olayların şeması
Her olay türü için bir blob kapsayıcısı oluşturulur. Blobdaki her satırın şeması aşağıdaki JSON dosyasıdır:
{
"time": "<The time WDATP received the event>"
"tenantId": "<Your tenant ID>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
Her blob birden çok satır içerir. Her satır olay adını, İş için Defender'ın olayı aldığı zamanı, ait olduğu kiracıyı (yalnızca kiracınızdan olayları alırsınız) ve olayı JSON biçim özelliklerinde içerir. Uç Nokta için Microsoft Defender olayların şeması hakkında daha fazla bilgi için bkz. Microsoft Defender XDR'de gelişmiş tehdit avcılığı ile tehditleri proaktif olarak avlama.
Ayrıca bkz.
- Uç Nokta için Defender'da Ham Veri Akışı API'si