Konfigurera händelsehubben
Gäller för:
Lär dig hur du konfigurerar händelsehubben så att det kan mata in händelser från Microsoft 365 Defender.
Konfigurera den nödvändiga resursleverantören i prenumerationen på Händelsehubben
- Logga in på Azure-portalen.
- Välj Prenumerationer > { Välj den prenumeration som händelsehubben ska distribueras till } > Resursleverantörer.
- Kontrollera att Microsoft.Insights Provider är registrerad. Registrera det annars.

Konfigurera Azure Active Directory för appar
! [OBS] Du måste ha administratörsroll eller Azure Active Directory (AAD) måste vara inställd på att tillåta icke-administratörer att registrera appar. Du måste också ha rollen Ägare eller Administratör för användaråtkomst för att tilldela tjänstens huvudroll. Mer information finns i Skapa en Azure AD-app & tjänstens huvudnamn i portalen – Microsofts identitetsplattform | Microsoft Docs.
Skapa en ny registrering (som på ett sätt skapar ett tjänsthuvudnamn) Azure Active Directory > appregistreringar > Ny registrering.
Fyll i formuläret med bara namnet (ingen Omdirigerings-URI krävs).


Skapa en hemlig genom att klicka på Certifikat & hemligheter Ny > klienthemlighet:

Varning
Du kommer inte att kunna komma åt klienthemligheten igen, så se till att spara den.
Konfigurera namnområdet i Händelsehubben
Skapa ett namnområde i händelsehubben:
Gå till Händelsehubben > Lägg till och välj prissättningsnivå, dataflödesenheter och automatisk härdning (kräver standardpris och under funktioner) som är lämpliga för den belastning du förväntar dig. Mer information finns i Priser – evenemangsnav | Microsoft Azure
Anteckning
Du kan använda ett befintligt händelsenav, men dataflödet och skalningen är inställda på namnområdesnivå, så vi rekommenderar att placera ett händelsenav i dess namnområde.

Du behöver också resurs-ID för namnområdet i händelsehubben. Gå till namnområdessidan i Azure Event > Hubs. Kopiera texten under Resurs-ID och registrera den för användning i avsnittet Microsoft 365 Konfiguration nedan.

När namnområdet för händelsehubben har skapats måste du lägga till programmets huvudnamn för registreringstjänsten som läsare, Azure Event Hubs Data Receiver och användaren som ska logga in i Microsoft 365 Defender som deltagare (du kan också göra detta på resursgrupp- eller prenumerationsnivå).
I Event Hubs Namespace Access Control > (IAM) lägger du > till och verifierar det under Rolltilldelningar:

Konfigurera händelsehubben
Alternativ 1:
Du kan skapa ett händelsenav i namnområdet och alla händelsetyper (tabeller) du väljer att exportera skrivs till det här händelsehubben.
Alternativ 2:
I stället för att exportera alla händelsetyper (tabeller) till ett händelsenav kan du exportera varje tabell till ett annat händelsenav i namnområdet i händelsehubben (ett händelsenav per händelsetyp).
Med det här alternativet Microsoft 365 Defender händelsehubben åt dig.
Anteckning
Om du använder ett namnområde för händelsehubben som inte ingår i ett händelsenavskluster kan du bara välja upp till 10 händelsetyper (tabeller) att exportera i varje export-Inställningar som du definierar, på grund av en Azure-begränsning på 10 händelsehubben per namnområde i händelsehubben.
Till exempel:

Om du väljer det här alternativet kan du gå till avsnittet Konfigurera e-Microsoft 365 Defender för att skicka e-posttabeller.
Skapa ett händelsehubben i namnområdet genom att välja Händelsehubben > + Händelsehubben.
Partition Count tillåter mer dataflöde via parallellitet, så vi rekommenderar att öka detta tal baserat på den belastning du förväntar dig. Standardvärdena För lagring av meddelanden och Spara med värdena 1 och Av rekommenderas.

För det här händelsehubben (inte namnområde) måste du konfigurera en princip för delad åtkomst med Skicka, lyssna på anspråk. Klicka på principer för delad åtkomst i händelsehubben + Lägg till och ge den sedan ett principnamn (används inte någon > > annanstans) och markera Skicka och lyssna.

Konfigurera e Microsoft 365 Defender att skicka e-posttabeller
Konfigurera e Microsoft 365 Defender skicka tabeller för e-post till Splunk via Event Hub
Logga in Microsoft 365 Defender konto med ett konto som uppfyller följande rollkrav:
Deltagarroll på namnområdets resursnivå i händelsehubben eller högre för händelsehubben som du ska exportera till. Utan den här behörigheten får du ett exportfel när du försöker spara inställningarna.
Rollen som global administratör eller säkerhetsadministratör i klientorganisationen som är knuten Microsoft 365 Defender och Azure.

Klicka på Raw Data Export > +Add.
Nu kommer du att använda de data som du har spelat in ovan.
Namn: Det här värdet är lokalt och ska vara det som fungerar i din miljö.
Vidarebefordra händelser till händelsehubben: Markera den här kryssrutan.
Händelse-Hubbens resurs-ID: Det här värdet är det namnområdes-ID för händelsehubben som du registrerade när du konfigurerade händelsehubben.
Event-Hub-namn: Om du har skapat ett händelsenav i namnområdet för händelsehubben klistrar du in händelsehubbens namn som du spelade in ovan.
Om du väljer att låta Microsoft 365 Defender skapa händelsehubben per händelsetyper (tabeller) lämnar du det här fältet tomt.
Händelsetyper: Välj de tabeller för avancerad sökning som du vill vidarebefordra till Händelsehubben och sedan vidare till den anpassade appen. Aviseringstabellerna är Microsoft 365 Defender, Enheter-tabeller är från Microsoft Defender för Slutpunkt (Identifiering och åtgärd på slutpunkt) och E-posttabeller är från Microsoft Defender för Office 365. E-posthändelser registrerar alla e-posttransaktioner. URL-adressen (Valv-länkar), bifogad fil (Valv-bilagor) och postleveranshändelser (ZAP) registreras också och kan vara ansluten till e-posthändelser i fältet NetworkMessageId.

Se till att klicka på Skicka.
Kontrollera att händelserna exporteras till händelsehubben
Du kan kontrollera att händelser skickas till Händelsehubben genom att köra en grundläggande avancerad fråga för sökning. Välj Söka > avancerad fråga > för sökning och ange följande fråga:
EmailEvents
|joinkind=fullouterEmailAttachmentInfoonNetworkMessageId
|joinkind=fullouterEmailUrlInfoonNetworkMessageId
|joinkind=fullouterEmailPostDeliveryEventsonNetworkMessageId
|whereTimestamp\>ago(1h)
|count
Det visar hur många e-postmeddelanden som togs emot den senaste timmen sammanfogade i alla andra tabeller. Du ser även om du ser händelser som kan exporteras till händelsehubben. Om antalet visar 0 ser du inga data som kommer till händelsehubben.

När du har kontrollerat att det finns data att exportera kan du visa Händelsehubben för att verifiera att meddelandena är inkommande. Det kan ta upp till en timme.
I Azure går du till Händelsehubben > Klicka på namnområdeshändelsehubben > > Klicka på händelsehubben.
Rulla nedåt under Översikt och i diagrammet Meddelanden bör du se Inkommande meddelanden. Om du inte ser några resultat visas inga meddelanden för att mata in det egna programmet.
