Condividi tramite

Configurare hub eventi

  • Articolo

Si applica a:

Nota

Provare le nuove API usando l'API di sicurezza di MS Graph. Per altre informazioni, vedere: Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn.

Informazioni su come configurare hub eventi in modo che possa inserire eventi da Microsoft Defender XDR.

Configurare il provider di risorse necessario nella sottoscrizione di Hub eventi

  1. Accedere al portale di Azure.
  2. Selezionare Sottoscrizioni>{ Selezionare la sottoscrizione in cui verranno distribuiti gli hub eventi in }>Provider di risorse.
  3. Verificare se il provider Microsoft.Insights è registrato. In caso contrario, registrarlo.

L'elenco dei provider di servizi nella pagina Microsoft portale di Azure

Configurare Microsoft Entra registrazione dell'app

Nota

È necessario avere il ruolo di amministratore o Microsoft Entra ID deve essere impostato per consentire agli utenti non amministratori di registrare le app. Per assegnare un ruolo all'entità servizio, è anche necessario disporre di un ruolo Proprietario o Amministratore accesso utente. Per altre informazioni, vedere Create un'app Microsoft Entra & entità servizio nel portale - Microsoft Identity Platform | Microsoft Docs.

  1. Create una nuova registrazione (che crea intrinsecamente un'entità servizio) in Microsoft Entra ID>Registrazioni app>Nuova registrazione.

  2. Compilare il modulo con solo il nome (non è necessario alcun URI di reindirizzamento).

    Sezione del nome dell'applicazione visualizzata in Microsoft portale di Azure

    Sezione Informazioni di panoramica in Microsoft portale di Azure

  3. Create un segreto facendo clic su Certificati & segreti>Nuovo segreto client:

    Sezione Segreto client in Microsoft portale di Azure

Questo valore del segreto client viene usato dalle API di Microsoft Graph per autenticare l'applicazione registrata.

Avviso

Non sarà più possibile accedere al segreto client, quindi assicurarsi di salvarlo.

Configurare lo spazio dei nomi di Hub eventi

  1. Create uno spazio dei nomi di Hub eventi:

    Passare a Aggiungi hub > eventi e selezionare il piano tariffario, le unità elaborate e l'aumento automatico (richiede prezzi standard e funzionalità) appropriati per il carico previsto. Per altre informazioni, vedere Prezzi - Hub eventi | Microsoft Azure.

    Nota

    È possibile usare un hub eventi esistente, ma la velocità effettiva e il ridimensionamento sono impostati a livello di spazio dei nomi, quindi è consigliabile inserire un hub eventi nel proprio spazio dei nomi.

    Sezione hub eventi in Microsoft portale di Azure

  2. Sarà necessario anche l'ID risorsa di questo spazio dei nomi di Hub eventi. Passare alla pagina > dello spazio dei nomi Hub eventi di Azure Proprietà. Copiare il testo in ID risorsa e registrarlo per l'uso durante la sezione Configurazione di Microsoft 365 riportata di seguito.

    Sezione delle proprietà dell'hub eventi in Microsoft portale di Azure

Aggiungere autorizzazioni

È necessario aggiungere le autorizzazioni ai ruoli seguenti alle entità coinvolte nella gestione dei dati di Hub eventi:

  • Collaboratore: le autorizzazioni correlate a questo ruolo vengono aggiunte all'entità che accede al portale di Microsoft Defender.
  • Lettore e ricevitore di dati dell'hub eventi di Azure: le autorizzazioni correlate a questi ruoli vengono assegnate all'entità a cui è già stato assegnato il ruolo di un'entità servizio e accede all'applicazione Microsoft Entra.

Per assicurarsi che questi ruoli siano stati aggiunti, eseguire il passaggio seguente:

Passare a Spazio dei nomi>dell'hub eventi Controllo di accesso (IAM)>Aggiungere e verificare in Assegnazioni di ruolo.

Sezione dell'entità servizio di registrazione dell'applicazione in Microsoft portale di Azure

Configurare Hub eventi

Opzione 1:

È possibile creare un hub eventi all'interno dello spazio dei nomi e tutti i tipi di evento (tabelle) selezionati per l'esportazione verranno scritti in questo hub eventi.

Opzione 2:

Invece di esportare tutti i tipi di evento (tabelle) in un hub eventi, è possibile esportare ogni tabella in hub eventi diversi all'interno dello spazio dei nomi di Hub eventi (un hub eventi per tipo di evento).

In questa opzione Microsoft Defender XDR creerà automaticamente Hub eventi.

Nota

Se si usa uno spazio dei nomi dell'hub eventi che non fa parte di un cluster dell'hub eventi, sarà possibile scegliere fino a 10 tipi di evento (tabelle) da esportare in ogni impostazione di esportazione definita, a causa di una limitazione di Azure di 10 hub eventi per spazio dei nomi dell'hub eventi.

Ad esempio:

Sezione hub eventi in Microsoft portale di Azure

Se si sceglie questa opzione, è possibile passare alla sezione Configura Microsoft Defender XDR per inviare tabelle di posta elettronica.

Create Hub eventi all'interno dello spazio dei nomi selezionando Hub>eventi+ Hub eventi.

Il conteggio delle partizioni consente una maggiore velocità effettiva tramite parallelismo, quindi è consigliabile aumentare questo numero in base al carico previsto. Sono consigliati valori predefiniti di conservazione e acquisizione dei messaggi pari a 1 e disattivati.

Sezione relativa alla creazione di hub eventi in Microsoft portale di Azure

Per questi hub eventi (non spazio dei nomi), è necessario configurare un criterio di accesso condiviso con attestazioni di invio e ascolto. Fare clic su Criteri diaccesso> condiviso dell'hub> eventi+ Aggiungi, quindi assegnare un nome di criterio (non usato altrove) e selezionare Invia e ascolta.

Pagina Criteri di accesso condiviso in Microsoft portale di Azure

Configurare Microsoft Defender XDR per l'invio di tabelle di posta elettronica

Configurare Microsoft Defender XDR inviare tabelle Email a Splunk tramite Hub eventi

  1. Accedere a Microsoft Defender XDR con un account che soddisfi tutti i requisiti di ruolo seguenti:

    • Ruolo collaboratore a livello di risorsa spazio dei nomi di Hub eventi o superiore per gli hub eventi in cui si eseguirà l'esportazione. Senza questa autorizzazione, si otterrà un errore di esportazione quando si tenta di salvare le impostazioni.

    • Ruolo Amministrazione di Amministrazione globale o sicurezza nel tenant associato a Microsoft Defender XDR e Azure.

      Pagina Impostazioni del portale di Microsoft Defender

  2. Fare clic su Esporta > dati non elaborati +Aggiungi.

    Si useranno ora i dati registrati in precedenza.

    Nome: questo valore è locale e deve essere quello che funziona nell'ambiente.

    Inoltrare gli eventi all'hub eventi: selezionare questa casella di controllo.

    ID risorsa hub eventi: questo valore è l'ID risorsa spazio dei nomi di Hub eventi registrato durante la configurazione di Hub eventi.

    Nome hub eventi: se è stato creato un hub eventi all'interno dello spazio dei nomi di Hub eventi, incollare il nome di Hub eventi registrato in precedenza.

    Se si sceglie di consentire a Microsoft Defender XDR di creare automaticamente Hub eventi per ogni tipo di evento (tabelle), lasciare vuoto questo campo.

    Tipi di evento: selezionare le tabelle di ricerca avanzata da inoltrare all'hub eventi e quindi all'app personalizzata. Le tabelle di avviso provengono da Microsoft Defender XDR, le tabelle Dispositivi provengono da Microsoft Defender per endpoint (EDR) e Email tabelle provengono da Microsoft Defender per Office 365. Email Events registra tutte le transazioni Email. Anche l'URL (collegamenti sicuri), l'allegato (allegati sicuri) e gli eventi post-recapito (ZAP) vengono registrati e possono essere aggiunti agli eventi Email nel campo NetworkMessageId.

    Pagina Delle impostazioni dell'API di streaming in Microsoft portale di Azure

  3. Assicurarsi di fare clic su Invia.

Verificare che gli eventi vengano esportati in Hub eventi

È possibile verificare che gli eventi vengano inviati all'hub eventi eseguendo una query di ricerca avanzata di base. Selezionare Ricerca>query di ricerca> avanzata e immettere la query seguente:

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

Questa query mostrerà il numero di messaggi di posta elettronica ricevuti nell'ultima ora aggiunti in tutte le altre tabelle. Verrà inoltre mostrato se vengono visualizzati eventi che potrebbero essere esportati negli hub eventi. Se questo conteggio mostra 0, non verranno visualizzati dati in uscita in Hub eventi.

Pagina ricerca avanzata in Microsoft portale di Azure

Dopo aver verificato la disponibilità di dati da esportare, è possibile visualizzare la pagina Hub eventi per verificare che i messaggi siano in arrivo. Questo processo può richiedere fino a un'ora.

  1. In Azure passare a Hub> eventi Fare clic suHub> eventi spazio dei nomi> Fare clic su nell'hub eventi.
  2. In Panoramica scorrere verso il basso e nel grafico Messaggi dovrebbe essere visualizzato Messaggi in ingresso. Se non vengono visualizzati risultati, non verranno inseriti messaggi per l'app personalizzata.

Pagina Panoramica del portale di Azure Di Microsoft 365

Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.