Gelişmiş Tehdit Avcılığı olaylarını Azure Olay Hub'ınıza akışla aktaracak şekilde Microsoft Defender XDR yapılandırma

Şunlar için geçerlidir:

• Microsoft Defender XDR

Not

MS Graph güvenlik API'lerini kullanarak yeni API'lerimizi deneyin. Daha fazla bilgi için bkz. Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn.

Önemli

Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Önkoşullar

Event Hubs'a veri akışı yapmak için Microsoft Defender XDR yapılandırmadan önce aşağıdaki önkoşulların karşılandığından emin olun:

1. Event Hubs oluşturma (bilgi için bkz. Event Hubs'ı ayarlama).

2. Event Hubs Ad Alanı oluşturma (bilgi için bkz. Event Hubs ad alanını ayarlama).

3. Bu varlığın Event Hubs'a veri aktarabilmesi için Katkıda Bulunan ayrıcalıklarına sahip olan varlığa izinler ekleyin. İzin ekleme hakkında daha fazla bilgi için bkz. İzin ekleme

Not

Akış API'si Event Hubs veya Azure Depolama Hesabı aracılığıyla tümleştirilebilir.

Ham veri akışını etkinleştirme

1. Microsoft Defender portalında en azından Güvenlik Yöneticisi olarak oturum açın.

Önemli

Microsoft, rolleri en az izinle kullanmanızı önerir. Daha düşük izinli hesapların kullanılması, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

2. Akış API'sinin ayarlar sayfasına gidin.

3. Ekle'ye tıklayın.

4. Yeni ayarlarınız için bir ad seçin.

5. Olayları Azure Olay Hub'ına ilet'i seçin.

6. Olay verilerini tek bir Olay Hub'ına aktarmak mı yoksa her olay tablosunu Event Hubs ad alanınızdaki farklı bir Event Hubs'a aktarmak mı istediğinizi seçebilirsiniz.

7. Olay verilerini tek bir Olay Hub'ına aktarmak için Olay Hub'ı adınızı ve Olay Hub'ı Ad Alanı kaynak kimliğinizi girin.

   Olay Hub'ı Ad Alanı kaynak kimliğinizi almak için Azure>Özellikler sekmesindeki > Azure Event Hubs ad alanı sayfanıza gidin ve Kaynak Kimliği altındaki metni kopyalayın:

   

8. Microsoft 365 Akış API'sindeki olay türlerinin destek durumunu gözden geçirmek için Olay akışı API'sinde Desteklenen Microsoft Defender XDR olay türleri'ne gidin.

9. Akış yapmak istediğiniz olayları seçin ve Kaydet'e tıklayın.

Azure Olay Hub'ında olayların şeması

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

• Azure Event Hubs içindeki her Event Hubs iletisi kayıtların listesini içerir.

• Her kayıt olay adını, Microsoft Defender XDR olayı aldığı zamanı, ait olduğu kiracıyı (yalnızca kiracınızdan olayları alırsınız) ve JSON biçimindeki olayı "properties" adlı bir özellikte içerir.

• Microsoft Defender XDR olaylarının şeması hakkında daha fazla bilgi için bkz. Gelişmiş Avcılık'a genel bakış.

• Gelişmiş Avcılık'ta DeviceInfo tablosunda, cihazın grubunu içeren MachineGroup adlı bir sütun bulunur. Burada her etkinlik bu sütunla da donatılacaktır.

Veri türleri eşlemesi

Olay özelliklerinin veri türlerini almak için aşağıdaki adımları uygulayın:

1. Microsoft Defender XDR oturum açın ve Gelişmiş Avcılık sayfasına gidin.

2. Her olay için veri türleri eşlemesini almak için aşağıdaki sorguyu çalıştırın:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Cihaz Bilgileri olayına bir örnek aşağıda verilmiştir:

  

İlk Olay Hub'ı kapasitesini tahmin etme

Aşağıdaki gelişmiş tehdit avcılığı sorgusu, olaylara/sn'ye ve tahmini MB/sn'ye göre veri hacmi aktarım hızı ve ilk olay hub'ı kapasitesinin kabaca tahminini sağlamaya yardımcı olabilir. 'Gerçek' aktarım hızını yakalamak için sorguyu normal iş saatlerinde çalıştırmanızı öneririz.

let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60 
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec

Farklı Olay Hub'ı sınırlarını denetlemek için Azure Event Hubs kotasını ve sınırlarını gözden geçirin.

Oluşturulan kaynakları izleme

Azure İzleyici'yi kullanarak akış API'sinin oluşturduğu kaynakları izleyebilirsiniz. Daha fazla bilgi için bkz. Azure İzleyici'de Log Analytics çalışma alanı verilerini dışarı aktarma.

İlgili konular

• Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn

• Gelişmiş Avcılık'a Genel Bakış

• akış API'sini Microsoft Defender XDR

• Olay akışı API'sinde desteklenen Microsoft Defender XDR olay türleri

• Olayları Azure depolama hesabınıza Stream Microsoft Defender XDR

• Azure Event Hubs belgeleri

• Bağlantı sorunlarını giderme - Azure Event Hubs

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.