Konfigurer Microsoft Defender XDR til at streame avancerede jagthændelser til din Azure Event Hub

Gælder for:

• Microsoft Defender XDR

Bemærk!

Prøv vores nye API'er ved hjælp af MS Graph-sikkerheds-API'en. Få mere at vide på: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn.

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Forudsætninger

Før du konfigurerer Microsoft Defender XDR til at streame data til Event Hubs, skal du sikre, at følgende forudsætninger er opfyldt:

1. Create en Event Hubs (du kan få flere oplysninger under Konfigurer Event Hubs).

2. Oprettelse af et Event Hubs-navneområde (du kan få flere oplysninger under Konfigurer Event Hubs-navneområdet).

3. Føj tilladelser til den enhed, der har rettighederne som bidragyder , så denne enhed kan eksportere data til Event Hubs. Du kan få flere oplysninger om tilføjelse af tilladelser under Tilføj tilladelser

Bemærk!

Streaming-API'en kan integreres enten via Event Hubs eller Azure Storage-konto.

Aktivér rå datastreaming

1. Log på Microsoft Defender portal som global administrator eller sikkerhedsadministrator.

2. Gå til siden Med indstillinger for streaming-API.

3. Klik på Tilføj.

4. Vælg et navn til de nye indstillinger.

5. Vælg Videresend hændelser til Azure Event Hub.

6. Du kan vælge, om du vil eksportere hændelsesdataene til en enkelt Event Hub, eller om du vil eksportere hver hændelsestabel til en anden Event Hubs i dit Event Hubs-navneområde.

7. Hvis du vil eksportere hændelsesdataene til en enkelt Event Hub, skal du angive dit Event Hub-navn og dit Event Hub-ressource-id.

   Hvis du vil hente dit Event Hub-ressource-id, skal du gå til navneområdet for Azure Event Hubs under fanen >Azure>Properties og kopiere teksten under Ressource-id:

   

8. Gå til De understøttede Microsoft Defender XDR hændelsestyper i API'en til hændelsesstreaming for at gennemse supportstatussen for hændelsestyper i Microsoft 365 Streaming-API'en.

9. Vælg de hændelser, du vil streame, og klik på Gem.

Skemaet for hændelserne i Azure Event Hub

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

• Hver Event Hubs-meddelelse i Azure Event Hubs indeholder en liste over poster.

• Hver post indeholder hændelsesnavnet, det tidspunkt, Microsoft Defender XDR modtog hændelsen, den lejer, den tilhører (du får kun hændelser fra din lejer) og hændelsen i JSON-format i en egenskab med navnet "egenskaber".

• Du kan finde flere oplysninger om skemaet for Microsoft Defender XDR begivenheder under Oversigt over avanceret jagt.

• I Avanceret jagt har tabellen DeviceInfo en kolonne med navnet MachineGroup , som indeholder gruppen af enheden. Her vil alle begivenheder også blive dekoreret med denne kolonne.

Tilknytning af datatyper

Benyt følgende fremgangsmåde for at hente datatyperne for hændelsesegenskaber:

1. Log på Microsoft Defender XDR, og gå til siden Avanceret jagt.

2. Kør følgende forespørgsel for at hente tilknytningen af datatyper for hver hændelse:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Her er et eksempel på hændelsen Enhedsoplysninger:

  

Vurdering af den indledende Event Hub-kapacitet

Følgende forespørgsel om avanceret jagt kan hjælpe med at give et groft estimat af datamængdegennemløb og den indledende hændelseshubkapacitet baseret på hændelser pr. sekund og anslået MB/sek. Vi anbefaler, at du kører forespørgslen i løbet af normal åbningstid for at registrere det "reelle" gennemløb.

let bytes_ = 500;
union withsource=MDTables *
| where Timestamp > startofday(ago(6h))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60
| summarize avg(EPS), estimatedMBPerSec = (avg(EPS) * bytes_ ) / (1024*1024) by MDTables
| sort by toint(estimatedMBPerSec) desc

Overvågning af oprettede ressourcer

Du kan overvåge de ressourcer, der oprettes af streaming-API'en, ved hjælp af Azure Monitor. Du kan finde flere oplysninger i Log Analytics-arbejdsområdedataeksport i Azure Monitor.

Relaterede emner

• Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn

• Oversigt over avanceret jagt

• Microsoft Defender XDR streaming-API

• Understøttede Microsoft Defender XDR hændelsestyper i API'en til hændelsesstreaming

• Stream Microsoft Defender XDR hændelser til din Azure Storage-konto

• Dokumentation til Azure Event Hubs

• Fejlfinding af forbindelsesproblemer – Azure Event Hubs

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.