使用串流 API 搭配 適用於企業的 Microsoft Defender
如果您的組織具有資訊安全作業中心 (SOC) ,則商務用Defender和 Microsoft 365 商務進階版可以使用 適用於端點的 Microsoft Defender串流 API。 API 可讓您將裝置檔案、登錄、網路、登入事件等數據串流至下列其中一項服務:
- Microsoft Sentinel 是可調整的雲端原生解決方案,可 (SIEM) 和安全性協調流程、自動化及回應 (SOAR) 功能提供安全性資訊和事件管理。
- Azure 事件中樞 是現代化的巨量數據串流平臺和事件擷取服務,可與其他 Azure 和 Microsoft 服務緊密整合,例如 Stream 分析、Power BI 和事件方格,以及 Apache Spark 等外部服務。
- Azure 記憶體是適用於新式數據記憶體案例的 Microsoft 雲端記憶體解決方案,具有高可用性、可大幅調整、耐久且安全的雲端記憶體,適用於雲端中的各種數據物件。
透過串流 API,您可以搭配商務用 Defender 和 Microsoft 365 商務進階版 使用進階搜捕和攻擊偵測。 串流 API 可讓 SOC 檢視更多裝置相關資料、進一步瞭解攻擊的發生方式,並採取步驟來改善裝置安全性。
搭配 Microsoft Sentinel 使用串流 API
注意事項
Microsoft Sentinel 是付費服務。 有數個方案和定價選項可供使用。 請參閱 Microsoft Sentinel 定價。
請確定已設定及設定商務用Defender,且裝置已上線。 請參閱 安裝並設定適用於企業的 Microsoft Defender。
Create 將與 Sentinel 搭配使用的 Log Analytics 工作區。 請參閱 Create Log Analytics 工作區。
上線至 Microsoft Sentinel。 請參閱 快速入門:將 Microsoft Sentinel 上線。
啟用 Microsoft Defender 全面偵測回應 連接器。 請參閱將數據從 Microsoft Defender 全面偵測回應 連線到 Microsoft Sentinel。
使用串流 API 搭配事件中樞
注意事項
Azure 事件中樞 需要 Azure 訂用帳戶。 開始之前,請務必在租使用者中建立 事件中樞 。 然後,登入 Azure 入口網站,移至 [訂>用帳戶][您的訂用帳戶>資源提供者>註冊至 Microsoft.insights]。
移至 Microsoft Defender 入口網站,並以全域管理員或安全性系統管理員身分登入。
移至 [資料匯出設定] 頁面。
選 取 [新增數據匯出設定]。
選擇新設定的名稱。
選擇 [轉送事件] 以 Azure 事件中樞。
輸入您的 事件中樞名稱 和事件中 樞標識碼。
注意事項
將 [事件中樞名稱] 字段保留空白,會為所選命名空間中的每個類別建立事件中樞。 如果您不是使用專用事件中樞叢集,請記住,有10個事件中樞命名空間的限制。
若要取得事件中樞標識碼,請移至 Azure 入口網站 中的 Azure 事件中樞 命名空間頁面。 在 [ 屬性] 索引 標籤上,複製 [ 標識符] 底下的文字。
選擇您想要串流的事件,然後選取 [ 儲存]。
Azure 事件中樞 中事件的架構
以下是 Azure 事件中樞 中事件的架構外觀:
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Azure 事件中樞 中的每個事件中樞訊息都包含記錄清單。 每筆記錄都包含事件名稱、商務用Defender收到事件的時間、它所屬的租使用者 (您只從租使用者) 取得事件,以及 JSON 格式的事件,其屬性稱為 “properties”。 如需架構的詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中使用進階搜捕主動搜捕威脅。
搭配 Azure 記憶體使用串流 API
Azure 記憶體需要 Azure 訂用帳戶。 開始之前,請務必在租使用者中建立 記憶體帳戶 。 然後,登入您的 Azure 租使用者,然後移至 [訂用帳戶][您的訂用>帳戶>資源提供者>註冊至 Microsoft.insights]。
啟用原始數據串流
移至 Microsoft Defender 入口網站,並以全域管理員或安全性系統管理員身分登入。
移至 Microsoft Defender 全面偵測回應 中的數據匯出設定頁面。
選 取 [新增數據匯出設定]。
選擇新設定的名稱。
選擇 [將事件轉送至 Azure 記憶體]。
輸入您的 記憶體帳戶資源識別碼。 若要取得記憶體帳戶資源標識碼,請移至 Azure 入口網站 中的記憶體帳戶頁面。 然後,在 [ 屬性] 索引 標籤上,複製 [儲存體帳戶資源標識符] 底下的文字。
選擇您想要串流的事件,然後選取 [ 儲存]。
Azure 記憶體帳戶中事件的架構
系統會針對每個事件類型建立 Blob 容器。 Blob 中每個數據列的架構是下列 JSON 檔案:
{
"time": "<The time WDATP received the event>"
"tenantId": "<Your tenant ID>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
每個 Blob 都包含多個數據列。 每個數據列都包含事件名稱、商務用 Defender 收到事件的時間、它所屬的租使用者 (您只從租使用者取得事件) ,以及 JSON 格式屬性的事件。 如需 適用於端點的 Microsoft Defender 事件架構的詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中使用進階搜捕主動搜捕威脅。
另請參閱
- 適用於端點的 Defender 中的原始資料串流 API