Konfigurera Microsoft Defender XDR för att strömma Advanced Hunting-händelser till din Azure Event Hub
Gäller för:
Obs!
Prova våra nya API:er med ms Graph-säkerhets-API. Läs mer på: Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn.
Viktigt
Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.
Förutsättningar
Innan du konfigurerar Microsoft Defender XDR för att strömma data till Event Hubs kontrollerar du att följande krav är uppfyllda:
Skapa en Event Hubs (mer information finns i Konfigurera Event Hubs).
Skapa ett Event Hubs-namnområde (mer information finns i Konfigurera Event Hubs-namnområde).
Lägg till behörigheter till entiteten som har behörighet som deltagare så att den här entiteten kan exportera data till Event Hubs. Mer information om hur du lägger till behörigheter finns i Lägga till behörigheter
Obs!
API:et för direktuppspelning kan integreras antingen via Event Hubs eller Azure Storage-kontot.
Aktivera direktuppspelning av rådata
Logga in på Microsoft Defender portalen som global administratör eller säkerhetsadministratör.
Klicka på Lägg till.
Välj ett namn för de nya inställningarna.
Välj Vidarebefordra händelser till Azure Event Hub.
Du kan välja om du vill exportera händelsedata till en enda händelsehubb eller exportera varje händelsetabell till olika händelsehubbar i event hubs-namnområdet.
Om du vill exportera händelsedata till en enda händelsehubb anger du namnet på händelsehubben och resurs-ID:t för händelsehubben.
Om du vill hämta resurs-ID:t för händelsehubben går du till sidan Azure Event Hubs namnområde på fliken >Azure-egenskaper> och kopierar texten under Resurs-ID:
Gå till Microsoft Defender XDR händelsetyper som stöds i API:et för händelseströmning för att granska supportstatusen för händelsetyper i Microsoft 365 Streaming API.
Välj de händelser som du vill strömma och klicka på Spara.
Schemat för händelserna i Azure Event Hub
{
"records": [
{
"time": "<The time Microsoft Defender XDR received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
}
...
]
}
Varje Event Hubs-meddelande i Azure Event Hubs innehåller en lista över poster.
Varje post innehåller händelsenamnet, den tid Microsoft Defender XDR tog emot händelsen, den klientorganisation den tillhör (du får bara händelser från din klientorganisation) och händelsen i JSON-format i en egenskap som kallas "egenskaper".
Mer information om schemat för Microsoft Defender XDR händelser finns i Översikt över avancerad jakt.
I Avancerad jakt har tabellen DeviceInfo en kolumn med namnet MachineGroup som innehåller enhetens grupp. Här kommer även varje händelse att dekoreras med den här kolumnen.
Mappning av datatyper
Utför följande steg för att hämta datatyperna för händelseegenskaper:
Logga in på Microsoft Defender XDR och gå till sidan Avancerad jakt.
Kör följande fråga för att hämta datatypernas mappning för varje händelse:
{EventType} | getschema | project ColumnName, ColumnType
Beräkna den första Event Hub-kapaciteten
Följande advanced hunting-fråga kan hjälpa dig att ge en ungefärlig uppskattning av datavolymens dataflöde och den inledande händelsehubbens kapacitet baserat på händelser/sek och uppskattad MB/sek. Vi rekommenderar att du kör frågan under normal kontorstid för att samla in "verkligt" dataflöde.
let bytes_ = 500;
union withsource=MDTables *
| where Timestamp > startofday(ago(6h))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60
| summarize avg(EPS), estimatedMBPerSec = (avg(EPS) * bytes_ ) / (1024*1024) by MDTables
| sort by toint(estimatedMBPerSec) desc
Övervaka skapade resurser
Du kan övervaka de resurser som skapas av API:et för direktuppspelning med hjälp av Azure Monitor. Mer information finns i Log Analytics-dataexport för arbetsytor i Azure Monitor.
Relaterade ämnen
Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn
Microsoft Defender XDR händelsetyper som stöds i API för händelseströmning
Stream Microsoft Defender XDR händelser till ditt Azure Storage-konto
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för