Konfigurace Microsoft Defender XDR pro streamování událostí rozšířeného proaktivního vyhledávání do centra událostí Azure

  • Článek

Platí pro:

Poznámka

Vyzkoušejte naše nová rozhraní API s využitím rozhraní MS Graph Security API. Další informace najdete v tématu : Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn.

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Požadavky

Před konfigurací Microsoft Defender XDR pro streamování dat do služby Event Hubs se ujistěte, že jsou splněné následující požadavky:

  1. Vytvořte službu Event Hubs (informace najdete v tématu Nastavení služby Event Hubs).

  2. Vytvoření oboru názvů služby Event Hubs (informace najdete v tématu Nastavení oboru názvů služby Event Hubs).

  3. Přidejte oprávnění k entitě, která má oprávnění přispěvatele , aby tato entita mohl exportovat data do služby Event Hubs. Další informace o přidávání oprávnění najdete v tématu Přidání oprávnění.

Poznámka

Rozhraní API pro streamování je možné integrovat prostřednictvím služby Event Hubs nebo účtu služby Azure Storage.

Povolení streamování nezpracovaných dat

  1. Přihlaste se k portálu Microsoft Defender minimálně jako správce zabezpečení.

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

  1. Přejděte na stránku nastavení rozhraní API pro streamování.

  2. Klikněte na Přidat.

  3. Zvolte název nového nastavení.

  4. Zvolte Předávat události do centra událostí Azure.

  5. Můžete vybrat, jestli chcete exportovat data událostí do jednoho centra událostí, nebo exportovat každou tabulku událostí do jiného event Hubs v oboru názvů služby Event Hubs.

  6. Pokud chcete exportovat data událostí do jednoho centra událostí, zadejte název centra událostí a ID prostředku oboru názvů centra událostí.

    Pokud chcete získat ID prostředku oboru názvů centra událostí, přejděte na stránku oboru názvů Azure Event Hubs na kartě >VlastnostiAzure>, zkopírujte text v části ID prostředku:

    ID prostředku centra událostí

  7. Přejděte do části Podporované typy událostí Microsoft Defender XDR v rozhraní API pro streamování událostí a zkontrolujte stav podpory typů událostí v rozhraní API pro streamování Microsoftu 365.

  8. Zvolte události, které chcete streamovat, a klikněte na Uložit.

Schéma událostí v centru událostí Azure

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

  • Každá zpráva služby Event Hubs v Azure Event Hubs obsahuje seznam záznamů.

  • Každý záznam obsahuje název události, čas, kdy Microsoft Defender XDR událost obdrželi, tenanta, do něhož patří (události budete dostávat jenom z vašeho tenanta) a událost ve formátu JSON ve vlastnosti s názvem "properties".

  • Další informace o schématu událostí Microsoft Defender XDR najdete v tématu Přehled rozšířeného proaktivního vyhledávání.

  • V rozšířeném proaktivním vyhledávání obsahuje tabulka DeviceInfo sloupec s názvem MachineGroup , který obsahuje skupinu zařízení. Zde bude každá událost ozdobena také tímto sloupcem.

Mapování datových typů

Datové typy pro vlastnosti událostí získáte následujícím postupem:

  1. Přihlaste se k Microsoft Defender XDR a přejděte na stránku Rozšířené proaktivní vyhledávání.

  2. Spuštěním následujícího dotazu získejte mapování datových typů pro každou událost:

    {EventType}
| getschema
| project ColumnName, ColumnType

  • Tady je příklad události Informace o zařízení:

    Příklad dotazu na informace o zařízení

Odhad počáteční kapacity centra událostí

Následující pokročilý dotaz proaktivního vyhledávání může poskytnout hrubý odhad propustnosti objemu dat a kapacity počátečního centra událostí na základě událostí za sekundu a odhadované MB/s. Doporučujeme spustit dotaz během běžné pracovní doby, aby se zachytila skutečná propustnost.

let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60 
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec

Pokud chcete zkontrolovat různá omezení centra událostí, projděte si Azure Event Hubs kvót a limitů.

Monitorování vytvořených prostředků

Prostředky vytvořené rozhraním API pro streamování můžete monitorovat pomocí služby Azure Monitor. Další informace najdete v tématu Export dat pracovního prostoru služby Log Analytics ve službě Azure Monitor.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.