Configuración de Microsoft Defender XDR para transmitir eventos de búsqueda avanzada al centro de eventos de Azure

Se aplica a:

• Microsoft Defender XDR

Nota:

Pruebe nuestras nuevas API mediante la API de seguridad de MS Graph. Obtenga más información en: Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn.

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Requisitos previos

Antes de configurar Microsoft Defender XDR para transmitir datos a Event Hubs, asegúrese de que se cumplen los siguientes requisitos previos:

1. Create una instancia de Event Hubs (para obtener información, consulte Configuración de Event Hubs).

2. Creación de un espacio de nombres de Event Hubs (para obtener información, consulte Configuración del espacio de nombres de Event Hubs).

3. Agregue permisos a la entidad que tiene los privilegios de un colaborador para que esta entidad pueda exportar datos a Event Hubs. Para obtener más información sobre cómo agregar permisos, vea Agregar permisos.

Nota:

La API de streaming se puede integrar mediante Event Hubs o una cuenta de Azure Storage.

Habilitación del streaming de datos sin procesar

1. Inicie sesión en Microsoft Defender portal como administrador global o administrador de seguridad.

2. Vaya a la página Configuración de Streaming API.

3. Haga clic en Agregar.

4. Elija un nombre para la nueva configuración.

5. Elija Reenviar eventos a Azure Event Hub.

6. Puede seleccionar si desea exportar los datos de eventos a un único centro de eventos o exportar cada tabla de eventos a un centro de eventos diferente en el espacio de nombres de Event Hubs.

7. Para exportar los datos de eventos a un único centro de eventos, escriba el nombre del centro de eventos y el identificador de recurso del centro de eventos.

   Para obtener el identificador de recurso de Event Hub, vaya a la página del espacio de nombres Azure Event Hubs de la pestaña >Propiedades de Azure> y copie el texto en Id. de recurso:

   

8. Vaya a los tipos de eventos de Microsoft Defender XDR admitidos en event streaming API para revisar el estado de soporte técnico de los tipos de eventos en la API de streaming de Microsoft 365.

9. Elija los eventos que desea transmitir y haga clic en Guardar.

Esquema de los eventos en Azure Event Hub

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

• Cada mensaje de Event Hubs de Azure Event Hubs contiene una lista de registros.

• Cada registro contiene el nombre del evento, la hora Microsoft Defender XDR recibió el evento, el inquilino al que pertenece (solo obtendrá eventos del inquilino) y el evento en formato JSON en una propiedad denominada "properties".

• Para obtener más información sobre el esquema de eventos de Microsoft Defender XDR, vea Información general sobre la búsqueda avanzada.

• En búsqueda avanzada, la tabla DeviceInfo tiene una columna denominada MachineGroup que contiene el grupo del dispositivo. Aquí todos los eventos también se decorarán con esta columna.

Asignación de tipos de datos

Para obtener los tipos de datos de las propiedades de evento, siga estos pasos:

1. Inicie sesión en Microsoft Defender XDR y vaya a la página Búsqueda avanzada.

2. Ejecute la consulta siguiente para obtener la asignación de tipos de datos para cada evento:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Este es un ejemplo del evento Device Info:

  

Estimación de la capacidad inicial del centro de eventos

La siguiente consulta de búsqueda avanzada puede ayudar a proporcionar una estimación aproximada del rendimiento del volumen de datos y la capacidad inicial del centro de eventos en función de los eventos por segundo y los MB/s estimados. Se recomienda ejecutar la consulta durante el horario comercial normal para capturar el rendimiento "real".

let bytes_ = 500;
union withsource=MDTables *
| where Timestamp > startofday(ago(6h))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60
| summarize avg(EPS), estimatedMBPerSec = (avg(EPS) * bytes_ ) / (1024*1024) by MDTables
| sort by toint(estimatedMBPerSec) desc

Supervisión de los recursos creados

Puede supervisar los recursos creados por la API de streaming mediante Azure Monitor. Para más información, consulte Exportación de datos del área de trabajo de Log Analytics en Azure Monitor.

Temas relacionados

• Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn

• Introducción a la búsqueda avanzada

• API de streaming de Microsoft Defender XDR

• Tipos de eventos Microsoft Defender XDR admitidos en la API de streaming de eventos

• Stream Microsoft Defender XDR eventos en la cuenta de Azure Storage

• documentación de Azure Event Hubs

• Solución de problemas de conectividad: Azure Event Hubs

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.