Konfigurer dine Event Hubs

Gælder for:

• Microsoft Defender XDR

Bemærk!

Prøv vores nye API'er ved hjælp af MS Graph-sikkerheds-API'en. Få mere at vide på: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn.

Få mere at vide om, hvordan du konfigurerer dine Event Hubs, så de kan overføre hændelser fra Microsoft Defender XDR.

Konfigurer den påkrævede ressourceudbyder i Event Hubs-abonnementet

1. Log på portalenAzure.
2. Vælg Abonnementer>{ Vælg det abonnement, som hændelseshubben udrulles til }>Ressourceudbydere.
3. Kontrollér, om Microsoft.Insights-udbyderen er registreret. Ellers skal du registrere den.

Konfigurer Microsoft Entra appregistrering

Bemærk!

Du skal have administratorrollen, eller Microsoft Entra ID skal være indstillet til at tillade, at apps, der ikke er administratorer, registreres. Du skal også have rollen Ejer eller Administrator af brugeradgang for at tildele tjenesteprincipalen en rolle. Du kan få flere oplysninger under Create en Microsoft Entra & tjenesteprincipal på portalen – Microsoft-identitetsplatform | Microsoft Docs.

1. Create en ny registrering (som i sagens natur opretter en tjenesteprincipal) i Microsoft Entra ID>Appregistreringer>Ny registrering.

2. Udfyld formularen med navnet (der kræves ingen omdirigerings-URI).

   

   

3. Create en hemmelighed ved at klikke på Certifikater & hemmeligheder>Ny klienthemmelighed:

   

Denne værdi for klienthemmelighed bruges af Microsoft Graph-API'er til at godkende det program, der registreres.

Advarsel

Du kan ikke få adgang til klienthemmeligheden igen, så sørg for at gemme den.

Konfigurer Event Hubs-navneområdet

1. Create et Event Hubs-navneområde:

   Gå til Event Hub > Tilføj , og vælg prisniveauet, gennemløbsenhederne og Automatisk oppumpning (kræver standardpriser og under funktioner), der passer til den belastning, du forventer. Du kan finde flere oplysninger under Prisfastsættelse – Event Hubs | Microsoft Azure.

   Bemærk!

   Du kan bruge en eksisterende hændelseshub, men dataoverførselshastigheden og skaleringen er angivet på navneområdeniveau, så det anbefales at placere en hændelseshub i sit eget navneområde.

   

2. Du skal også bruge ressource-id'et for dette Event Hubs-navneområde. Gå til siden > Egenskaber for azure Event Hubs-navneområde. Kopiér teksten under Ressource-id, og registrer den til brug i afsnittet Konfiguration af Microsoft 365 nedenfor.

   

Tilføj tilladelser

Du skal føje tilladelser til følgende roller til objekter, der er involveret i Event Hubs-dataadministration:

• Bidragyder: De tilladelser, der er relateret til denne rolle, føjes til det objekt, der logger på Microsoft Defender-portalen.
• Læser- og Azure Event Hub-datamodtager: De tilladelser, der er relateret til disse roller, tildeles til den enhed, der allerede har fået tildelt rollen som tjenesteprincipal, og logger på Microsoft Entra-programmet.

Udfør følgende trin for at sikre, at disse roller er blevet tilføjet:

Gå til Event Hub Namespace>Access Control (IAM)>Tilføj og bekræft under Rolletildelinger.

Konfigurer Event Hubs

Mulighed 1:

Du kan oprette en Event Hubs i dit navneområde, og alle de hændelsestyper (tabeller), du vælger at eksportere, skrives til denne hændelseshub .

Mulighed 2:

I stedet for at eksportere alle hændelsestyper (tabeller) til én Event Hub kan du eksportere hver tabel til forskellige Event Hubs i dit Event Hubs Namespace (én Event Hub pr. Hændelsestype).

I denne indstilling opretter Microsoft Defender XDR Event Hubs for dig.

Bemærk!

Hvis du bruger et Event Hub Namespace, der ikke er en del af en Event Hub Cluster, kan du kun vælge op til 10 hændelsestyper (tabeller) til eksport i hver eksportindstilling, du definerer, på grund af en Azure-begrænsning på 10 Event Hub pr. Event Hub Namespace.

Det kan f.eks. være:

Hvis du vælger denne indstilling, kan du springe til afsnittet Konfigurer Microsoft Defender XDR til at sende mailtabeller.

Create Event Hubs i dit navneområde ved at vælge Event Hub>+ Event Hub.

Partitionsantallet giver mulighed for flere dataoverførselshastigheder via parallelitet, så det anbefales at øge dette tal baseret på den belastning, du forventer. Standardværdier for opbevaring og hentning af meddelelser på 1 og Fra anbefales.

For disse Event Hubs (ikke navneområde) skal du konfigurere en delt adgangspolitik med Send, Lyttekrav. Klik påpolitikkerne for> delt adgang i Event Hub>+ Tilføj, og giv den derefter et politiknavn (bruges ikke et andet sted), og markér Send og lyt.

Konfigurer Microsoft Defender XDR til at sende mailtabeller

Konfigurer Microsoft Defender XDR sende mailtabeller til Splunk via Event Hubs

1. Log på for at Microsoft Defender XDR med en konto, der opfylder alle følgende rollekrav:

   • Rolle som bidragyder på Ressourceniveau for Event Hubs Namespace eller højere for de Event Hubs, du eksporterer til. Uden denne tilladelse får du vist en eksportfejl, når du forsøger at gemme indstillingerne.

   • Global Administration- eller sikkerhedsrolle Administration rolle i lejeren, der er knyttet til Microsoft Defender XDR og Azure.

     

2. Klik på Rå dataeksport > +Tilføj.

   Du skal nu bruge de data, du har optaget ovenfor.

   Navn: Denne værdi er lokal og bør være, hvad der fungerer i dit miljø.

   Videresend hændelser til hændelseshub: Markér dette afkrydsningsfelt.

   Event-Hub-ressource-id: Denne værdi er det Event Hubs Namespace-ressource-id, du registrerede, da du konfigurerede Event Hubs.

   Event-Hub-navn: Hvis du har oprettet en Event Hubs i dit Event Hubs-navneområde, skal du indsætte det Event Hubs-navn, du har registreret ovenfor.

   Hvis du vælger at lade Microsoft Defender XDR oprette Event Hubs pr. hændelsestyper (tabeller) for dig, skal du lade feltet være tomt.

   Hændelsestyper: Vælg de avancerede jagttabeller, du vil videresende til Event Hubs og derefter videre til din brugerdefinerede app. Beskedtabeller er fra Microsoft Defender XDR, enhedstabeller er fra Microsoft Defender for Endpoint (EDR), og mailtabeller er fra Microsoft Defender for Office 365. Mailhændelser registrerer alle mailtransaktioner. URL-adressen (Safe Links), Attachment (Safe Attachments) og ZAP (Post Delivery Events) registreres også og kan føjes til mailhændelserne i feltet NetworkMessageId.

   

3. Sørg for at klikke på Send.

Kontrollér, at hændelserne eksporteres til Event Hubs

Du kan bekræfte, at hændelser sendes til Event Hubs ved at køre en grundlæggende avanceret jagtforespørgsel. Vælg Avanceret>jagtforespørgsel,> og angiv følgende forespørgsel:

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

Denne forespørgsel viser dig, hvor mange mails der blev modtaget i løbet af den sidste time, der blev joinforbundet på tværs af alle de andre tabeller. Du får også vist, hvis du får vist hændelser, der kan eksporteres til hændelseshubben. Hvis dette antal viser 0, kan du ikke se nogen data, der går ud til Event Hubs.

Når du har bekræftet, at der er data at eksportere, kan du få vist siden Event Hubs for at bekræfte, at meddelelser er indgående. Denne proces kan tage op til én time.

1. I Azure skal du gå til Event Hub> Klik på navneområdet>Event Hub> Klik på Event Hub.
2. Under Oversigt skal du rulle ned og i grafen Meddelelser kan du se Indgående meddelelser. Hvis du ikke kan se nogen resultater, er der ingen meddelelser til din brugerdefinerede app til indfødning.

Relaterede emner

Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.