将流式处理 API 与Microsoft Defender 商业版

如果组织有安全运营中心 (SOC) ,则 Defender for BusinessMicrosoft 365 商业高级版 可以使用Microsoft Defender for Endpoint流式处理 API。 使用 API 可将设备文件、注册表、网络、登录事件等数据流式传输到以下服务之一:

  • Microsoft Sentinel 是一种可缩放的云原生解决方案, (SIEM) 和安全业务流程、自动化和响应 (SOAR) 功能提供安全信息和事件管理。
  • Azure 事件中心,一种新式大数据流式处理平台和事件引入服务,可以与其他 Azure 和 Microsoft 服务(如 Stream Analytics、Power BI 和事件网格)以及 Apache Spark 等外部服务无缝集成。
  • Azure 存储是 Microsoft 用于新式数据存储方案的云存储解决方案,为云中的各种数据对象提供高度可用、可大规模缩放、持久且安全的存储。

借助流式处理 API,可以通过 Defender for Business 和 Microsoft 365 商业高级版 使用高级搜寻攻击检测。 流式处理 API 使 SOC 能够查看有关设备的更多数据,更好地了解攻击的发生方式,并采取措施提高设备安全性。

将流式处理 API 与 Microsoft Sentinel 配合使用

注意

Microsoft Sentinel 是一项付费服务。 有多个计划和定价选项可用。 请参阅 Microsoft Sentinel 定价

  1. 确保已设置和配置 Defender for Business,并且设备已载入。 请参阅设置和配置Microsoft Defender 商业版

  2. Create将用于 Sentinel 的 Log Analytics 工作区。 请参阅 Create Log Analytics 工作区

  3. 加入到 Microsoft Sentinel。 请参阅 快速入门:载入 Microsoft Sentinel

  4. 启用Microsoft Defender XDR连接器。 请参阅将数据从Microsoft Defender XDR连接到 Microsoft Sentinel

将流式处理 API 与事件中心配合使用

注意

Azure 事件中心需要 Azure 订阅。 在开始之前,请确保在租户中创建 事件中心 。 然后,登录到Azure 门户,转到订阅>资源提供程序>注册到 Microsoft.insights订阅>。

  1. 转到Microsoft Defender门户,以全局管理员安全管理员身份登录。

  2. 转到 “数据导出设置”页

  3. 选择 “添加数据导出设置”。

  4. 为新设置选择名称。

  5. 选择“将事件转发到Azure 事件中心”。

  6. 键入事件中心名称和事件中心 ID

    注意

    将“事件中心名称”字段留空会为所选命名空间中的每个类别创建一个事件中心。 如果不使用专用事件中心群集,请记住,有 10 个事件中心命名空间的限制。

    若要获取事件中心 ID,请转到Azure 门户中的“Azure 事件中心命名空间”页。 在“ 属性 ”选项卡上,复制 “ID”下的文本。

  7. 选择要流式传输的事件,然后选择“ 保存”。

Azure 事件中心中的事件的架构

下面是Azure 事件中心中事件的架构:

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

Azure 事件中心中的每个事件中心消息都包含记录列表。 每条记录都包含事件名称、Defender for Business 接收事件的时间、它所属的租户 (仅) 从租户获取事件,以及名为“properties”的属性的 JSON 格式的事件。 有关架构的详细信息,请参阅使用Microsoft Defender XDR中的高级搜寻主动搜寻威胁

将流式处理 API 与 Azure 存储配合使用

Azure 存储需要 Azure 订阅。 在开始之前,请确保在租户中创建 存储帐户 。 然后,登录到 Azure 租户,并转到订阅资源提供程序>注册到 Microsoft.insights 的订阅>>。

启用原始数据流式处理

  1. 转到Microsoft Defender门户,以全局管理员安全管理员身份登录。

  2. 转到 Microsoft Defender XDR 中的数据导出设置页

  3. 选择 “添加数据导出设置”。

  4. 为新设置选择名称。

  5. 选择“ 将事件转发到 Azure 存储”。

  6. 键入 存储帐户资源 ID。 若要获取存储帐户资源 ID,请转到Azure 门户中的存储帐户页。 然后,在“ 属性 ”选项卡上,复制 “存储帐户资源 ID”下的文本。

  7. 选择要流式传输的事件,然后选择“ 保存”。

Azure 存储帐户中事件的架构

将为每个事件类型创建一个 Blob 容器。 Blob 中每一行的架构是以下 JSON 文件:

{
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

每个 Blob 包含多个行。 每一行都包含事件名称、Defender for Business 接收事件的时间、它所属的租户 (仅) 从租户获取事件,以及 JSON 格式的事件属性。 有关Microsoft Defender for Endpoint事件架构的详细信息,请参阅使用Microsoft Defender XDR中的高级搜寻主动搜寻威胁

另请参阅