Konfigurera Microsoft Defender XDR för att strömma Advanced Hunting-händelser till din Azure Event Hub

Gäller för:

• Microsoft Defender XDR

Obs!

Prova våra nya API:er med ms Graph-säkerhets-API. Läs mer på: Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn.

Viktigt

Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

Förutsättningar

Innan du konfigurerar Microsoft Defender XDR för att strömma data till Event Hubs kontrollerar du att följande krav är uppfyllda:

1. Skapa en Event Hubs (mer information finns i Konfigurera Event Hubs).

2. Skapa ett Event Hubs-namnområde (mer information finns i Konfigurera Event Hubs-namnområde).

3. Lägg till behörigheter till entiteten som har behörighet som deltagare så att den här entiteten kan exportera data till Event Hubs. Mer information om hur du lägger till behörigheter finns i Lägga till behörigheter

Obs!

API:et för direktuppspelning kan integreras antingen via Event Hubs eller Azure Storage-kontot.

Aktivera direktuppspelning av rådata

1. Logga in på Microsoft Defender portalen som global administratör eller säkerhetsadministratör.

2. Gå till inställningssidan för API för direktuppspelning.

3. Klicka på Lägg till.

4. Välj ett namn för de nya inställningarna.

5. Välj Vidarebefordra händelser till Azure Event Hub.

6. Du kan välja om du vill exportera händelsedata till en enda händelsehubb eller exportera varje händelsetabell till olika händelsehubbar i event hubs-namnområdet.

7. Om du vill exportera händelsedata till en enda händelsehubb anger du namnet på händelsehubben och resurs-ID:t för händelsehubben.

   Om du vill hämta resurs-ID:t för händelsehubben går du till sidan Azure Event Hubs namnområde på fliken >Azure-egenskaper> och kopierar texten under Resurs-ID:

   

8. Gå till Microsoft Defender XDR händelsetyper som stöds i API:et för händelseströmning för att granska supportstatusen för händelsetyper i Microsoft 365 Streaming API.

9. Välj de händelser som du vill strömma och klicka på Spara.

Schemat för händelserna i Azure Event Hub

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

• Varje Event Hubs-meddelande i Azure Event Hubs innehåller en lista över poster.

• Varje post innehåller händelsenamnet, den tid Microsoft Defender XDR tog emot händelsen, den klientorganisation den tillhör (du får bara händelser från din klientorganisation) och händelsen i JSON-format i en egenskap som kallas "egenskaper".

• Mer information om schemat för Microsoft Defender XDR händelser finns i Översikt över avancerad jakt.

• I Avancerad jakt har tabellen DeviceInfo en kolumn med namnet MachineGroup som innehåller enhetens grupp. Här kommer även varje händelse att dekoreras med den här kolumnen.

Mappning av datatyper

Utför följande steg för att hämta datatyperna för händelseegenskaper:

1. Logga in på Microsoft Defender XDR och gå till sidan Avancerad jakt.

2. Kör följande fråga för att hämta datatypernas mappning för varje händelse:

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• Här är ett exempel på händelsen Enhetsinformation:

  

Beräkna den första Event Hub-kapaciteten

Följande advanced hunting-fråga kan hjälpa dig att ge en ungefärlig uppskattning av datavolymens dataflöde och den inledande händelsehubbens kapacitet baserat på händelser/sek och uppskattad MB/sek. Vi rekommenderar att du kör frågan under normal kontorstid för att samla in "verkligt" dataflöde.

let bytes_ = 500;
union withsource=MDTables *
| where Timestamp > startofday(ago(6h))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60
| summarize avg(EPS), estimatedMBPerSec = (avg(EPS) * bytes_ ) / (1024*1024) by MDTables
| sort by toint(estimatedMBPerSec) desc

Övervaka skapade resurser

Du kan övervaka de resurser som skapas av API:et för direktuppspelning med hjälp av Azure Monitor. Mer information finns i Log Analytics-dataexport för arbetsytor i Azure Monitor.

Relaterade ämnen

• Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn

• Översikt över avancerad jakt

• Microsoft Defender XDR strömnings-API

• Microsoft Defender XDR händelsetyper som stöds i API för händelseströmning

• Stream Microsoft Defender XDR händelser till ditt Azure Storage-konto

• Azure Event Hubs dokumentation

• Felsöka anslutningsproblem – Azure Event Hubs

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.