Konfigurowanie Microsoft Defender XDR do przesyłania strumieniowego zdarzeń zaawansowanego wyszukiwania zagrożeń do usługi Azure Event Hub

Dotyczy:

• Microsoft Defender XDR

Uwaga

Wypróbuj nasze nowe interfejsy API przy użyciu interfejsu API zabezpieczeń programu MS Graph. Dowiedz się więcej na stronie: Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn.

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Wymagania wstępne

Przed skonfigurowaniem Microsoft Defender XDR do przesyłania strumieniowego danych do usługi Event Hubs upewnij się, że zostały spełnione następujące wymagania wstępne:

1. Twórca usługi Event Hubs (aby uzyskać informacje, zobacz Konfigurowanie usługi Event Hubs).

2. Tworzenie przestrzeni nazw usługi Event Hubs (aby uzyskać informacje, zobacz Konfigurowanie przestrzeni nazw usługi Event Hubs).

3. Dodaj uprawnienia do jednostki, która ma uprawnienia współautora , aby ta jednostka mogła eksportować dane do usługi Event Hubs. Aby uzyskać więcej informacji na temat dodawania uprawnień, zobacz Dodawanie uprawnień

Uwaga

Interfejs API przesyłania strumieniowego można zintegrować za pośrednictwem usługi Event Hubs lub konta usługi Azure Storage.

Włączanie przesyłania strumieniowego danych pierwotnych

1. Zaloguj się do Microsoft Defender portalu jako administrator globalny lub administrator zabezpieczeń.

2. Przejdź do strony ustawienia interfejsu API przesyłania strumieniowego.

3. Kliknij pozycję Dodaj.

4. Wybierz nazwę nowych ustawień.

5. Wybierz pozycję Prześlij zdarzenia do usługi Azure Event Hub.

6. Możesz wybrać, czy chcesz wyeksportować dane zdarzeń do pojedynczego centrum zdarzeń, czy wyeksportować każdą tabelę zdarzeń do innej usługi Event Hubs w przestrzeni nazw usługi Event Hubs.

7. Aby wyeksportować dane zdarzeń do pojedynczego centrum zdarzeń, wprowadź nazwę centrum zdarzeń i identyfikator zasobu centrum zdarzeń.

   Aby uzyskać identyfikator zasobu centrum zdarzeń, przejdź do strony przestrzeni nazw Azure Event Hubs na karcie >Właściwościplatformy Azure>, aby skopiować tekst w obszarze Identyfikator zasobu:

   

8. Przejdź do obszaru Obsługiwane typy zdarzeń Microsoft Defender XDR w interfejsie API przesyłania strumieniowego zdarzeń, aby przejrzeć stan obsługi typów zdarzeń w interfejsie API przesyłania strumieniowego platformy Microsoft 365.

9. Wybierz zdarzenia, które chcesz przesyłać strumieniowo, a następnie kliknij przycisk Zapisz.

Schemat zdarzeń w usłudze Azure Event Hub

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

• Każdy komunikat usługi Event Hubs w Azure Event Hubs zawiera listę rekordów.

• Każdy rekord zawiera nazwę zdarzenia, czas Microsoft Defender XDR odebrania zdarzenia, dzierżawę, do której należy (otrzymasz tylko zdarzenia z dzierżawy), a zdarzenie w formacie JSON we właściwości o nazwie "właściwości".

• Aby uzyskać więcej informacji na temat schematu zdarzeń Microsoft Defender XDR, zobacz Omówienie zaawansowanego wyszukiwania zagrożeń.

• W obszarze Zaawansowane wyszukiwanie zagrożeń tabela DeviceInfo zawiera kolumnę o nazwie MachineGroup zawierającą grupę urządzenia. W tym miejscu każde wydarzenie zostanie również ozdobione tą kolumną.

Mapowanie typów danych

Aby uzyskać typy danych dla właściwości zdarzeń, wykonaj następujące kroki:

1. Zaloguj się do Microsoft Defender XDR i przejdź do strony Zaawansowane wyszukiwanie zagrożeń.

2. Uruchom następujące zapytanie, aby uzyskać mapowanie typów danych dla każdego zdarzenia:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Oto przykład zdarzenia Informacje o urządzeniu:

  

Szacowanie początkowej pojemności centrum zdarzeń

Poniższe zapytanie Zaawansowane wyszukiwanie zagrożeń może pomóc w zapewnieniu przybliżonego oszacowania przepływności woluminu danych i początkowej pojemności centrum zdarzeń na podstawie zdarzeń/s i szacowanych MB/s. Zalecamy uruchomienie zapytania w zwykłych godzinach pracy, aby przechwycić "rzeczywistą" przepływność.

let bytes_ = 500;
union withsource=MDTables *
| where Timestamp > startofday(ago(6h))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60
| summarize avg(EPS), estimatedMBPerSec = (avg(EPS) * bytes_ ) / (1024*1024) by MDTables
| sort by toint(estimatedMBPerSec) desc

Monitorowanie utworzonych zasobów

Zasoby utworzone przez interfejs API przesyłania strumieniowego można monitorować przy użyciu usługi Azure Monitor. Aby uzyskać więcej informacji, zobacz Eksportowanie danych obszaru roboczego usługi Log Analytics w usłudze Azure Monitor.

Tematy pokrewne

• Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn

• Omówienie zaawansowanego wyszukiwania zagrożeń

• interfejs API przesyłania strumieniowego Microsoft Defender XDR

• Obsługiwane typy zdarzeń Microsoft Defender XDR w interfejsie API przesyłania strumieniowego zdarzeń

• Stream Microsoft Defender XDR zdarzenia do konta usługi Azure Storage

• dokumentacja Azure Event Hubs

• Rozwiązywanie problemów z łącznością — Azure Event Hubs

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.