Konfigurieren Ihrer Event Hubs

Gilt für:

• Microsoft Defender XDR

Erfahren Sie, wie Sie Ihre Event Hubs so konfigurieren, dass sie Ereignisse von Microsoft Defender XDR erfassen können.

Einrichten des erforderlichen Ressourcenanbieters im Event Hubs-Abonnement

1. Melden Sie sich beim Azure-Portal an.
2. Wählen Sie Abonnements>{ Wählen Sie das Abonnement aus, das die Event Hubs für }>Ressourcenanbieter bereitgestellt werden sollen.
3. Überprüfen Sie, ob der Microsoft.Insights-Anbieter registriert ist. Andernfalls registrieren Sie es.

Einrichten der Microsoft Entra App-Registrierung

1. Erstellen Sie eine neue Registrierung (die inhärent einen Dienstprinzipal erstellt) in Microsoft Entra ID>App-Registrierungen>Neue Registrierung.

2. Füllen Sie das Formular nur mit dem Namen aus (kein Umleitungs-URI erforderlich).

   

   

3. Erstellen Sie ein Geheimnis, indem Sie auf Zertifikate & Geheimnisse>Neuer geheimer Clientschlüssel klicken:

   

Dieser Wert des geheimen Clientschlüssels wird von Microsoft Graph-APIs verwendet, um diese Anwendung zu authentifizieren, die registriert wird.

Einrichten des Event Hubs-Namespace

1. Erstellen Sie einen Event Hubs-Namespace:

   Wechseln Sie zu Event Hub > Hinzufügen , und wählen Sie den Tarif, die Durchsatzeinheiten und die automatische Vergrößerung (erfordert Standardpreise und unter Features) aus, die für die erwartete Last geeignet sind. Weitere Informationen finden Sie unter Preise – Event Hubs | Microsoft Azure.

   Hinweis

   Sie können einen vorhandenen Event Hub verwenden, aber der Durchsatz und die Skalierung werden auf Namespaceebene festgelegt. Daher wird empfohlen, einen Event Hub in einem eigenen Namespace zu platzieren.

   

2. Sie benötigen auch die Ressourcen-ID dieses Event Hubs-Namespace. Wechseln Sie zur Seite > Eigenschaften Ihres Azure Event Hubs-Namespaces. Kopieren Sie den Text unter Ressourcen-ID, und notieren Sie ihn zur Verwendung während des Abschnitts Microsoft 365-Konfiguration weiter unten.

   

Berechtigungen hinzufügen

Sie müssen den folgenden Rollen Berechtigungen für Entitäten hinzufügen, die an der Event Hubs-Datenverwaltung beteiligt sind:

• Mitwirkender: Die Berechtigungen im Zusammenhang mit dieser Rolle werden der Entität hinzugefügt, die sich beim Microsoft Defender-Portal anmeldet.
• Leser und Azure Event Hub-Datenempfänger: Die Berechtigungen für diese Rollen werden der Entität zugewiesen, der bereits die Rolle eines Dienstprinzipals zugewiesen ist und sich bei der Microsoft Entra-Anwendung anmeldet.

Führen Sie den folgenden Schritt aus, um sicherzustellen, dass diese Rollen hinzugefügt wurden:

Wechseln Sie zu Event Hub Namespace>Access Control (IAM)>Hinzufügen und überprüfen Sie sie unter Rollenzuweisungen.

Einrichten von Event Hubs

Option 1:

Sie können einen Event Hubs in Ihrem Namespace erstellen, und alle Ereignistypen (Tabellen), die Sie exportieren möchten, werden in diesen einen Event Hub geschrieben.

Option 2:

Anstatt alle Ereignistypen (Tabellen) in einen Event Hub zu exportieren, können Sie jede Tabelle in verschiedene Event Hubs in Ihrem Event Hubs-Namespace (einen Event Hub pro Ereignistyp) exportieren.

In dieser Option erstellt Microsoft Defender XDR Event Hubs für Sie.

Beispiel:

Wenn Sie diese Option auswählen, können Sie mit dem Abschnitt Konfigurieren von Microsoft Defender XDR zum Senden von E-Mail-Tabellen fortfahren.

Erstellen Sie Event Hubs in Ihrem Namespace, indem Sie Event Hub>+ Event Hub auswählen.

Die Partitionsanzahl ermöglicht einen höheren Durchsatz durch Parallelität. Daher wird empfohlen, diese Anzahl basierend auf der erwarteten Last zu erhöhen. Die Standardwerte für Nachrichtenaufbewahrung und -erfassung von 1 und Aus werden empfohlen.

Für diese Event Hubs (nicht für den Namespace) müssen Sie eine SAS-Richtlinie mit Sende-, Lauschansprüchen konfigurieren. Klicken Sie auf Ihre EventHub-Sas-Zugriffsrichtlinien>>+ Hinzufügen, geben Sie ihm dann einen Richtliniennamen (der an anderer Stelle nicht verwendet wird), und aktivieren Sie Senden und Lauschen.

Konfigurieren von Microsoft Defender XDR zum Senden von E-Mail-Tabellen

Einrichten von Microsoft Defender XDR zum Senden von E-Mail-Tabellen an Splunk über Event Hubs

1. Melden Sie sich bei Microsoft Defender XDR mit einem Konto an, das alle folgenden Rollenanforderungen erfüllt:

   • Rolle "Mitwirkender" auf Event Hubs-Namespaceressourcenebene oder höher für die Event Hubs, in die Sie exportieren möchten. Ohne diese Berechtigung erhalten Sie einen Exportfehler, wenn Sie versuchen, die Einstellungen zu speichern.

   • Rolle "Sicherheitsadministrator" auf dem Mandanten, der an Microsoft Defender XDR und Azure gebunden ist.

     

2. Klicken Sie auf Rohdaten exportieren > +Hinzufügen.

   Sie verwenden nun die oben notierten Daten.

   Name: Dieser Wert ist lokal und sollte der wert sein, der in Ihrer Umgebung funktioniert.

   Ereignisse an Event Hub weiterleiten: Aktivieren Sie dieses Kontrollkästchen.

   Event Hub-Ressourcen-ID: Dieser Wert ist die Ressourcen-ID des Event Hubs-Namespaces, die Sie beim Einrichten der Event Hubs notiert haben.

   Event Hub-Name: Wenn Sie einen Event Hubs in Ihrem Event Hubs-Namespace erstellt haben, fügen Sie den oben notierten Event Hubs-Namen ein.

   Wenn Sie Microsoft Defender XDR das Erstellen von Event Hubs pro Ereignistypen (Tabellen) für Sie überlassen möchten, lassen Sie dieses Feld leer.

   Ereignistypen: Wählen Sie die Tabellen für die erweiterte Suche aus, die Sie an event Hubs und dann an Ihre benutzerdefinierte App weiterleiten möchten. Warnungstabellen stammen aus Microsoft Defender XDR, Gerätetabellen von Microsoft Defender für Endpunkt (EDR) und E-Mail-Tabellen aus Microsoft Defender für Office 365. E-Mail-Ereignisse zeichnet alle E-Mail-Transaktionen auf. Die URL (Safe Links), Attachment (Safe Attachments) und Post Delivery Events (ZAP) werden ebenfalls aufgezeichnet und können mit den E-Mail-Ereignissen im Feld NetworkMessageId verknüpft werden.

   

3. Stellen Sie sicher, dass Sie auf Senden klicken.

Vergewissern Sie sich, dass die Ereignisse in event Hubs exportiert werden.

Sie können überprüfen, ob Ereignisse an event Hubs gesendet werden, indem Sie eine einfache Erweiterte Hunting-Abfrage ausführen. Wählen Sie Hunting>Advanced Hunting>Query aus, und geben Sie die folgende Abfrage ein:

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

Diese Abfrage zeigt, wie viele E-Mails in der letzten Stunde empfangen wurden, die in allen anderen Tabellen verknüpft sind. Außerdem wird angezeigt, ob Ereignisse angezeigt werden, die in die Event Hubs exportiert werden können. Wenn diese Anzahl 0 anzeigt, werden keine Daten angezeigt, die an die Event Hubs gesendet werden.

Nachdem Sie überprüft haben, dass daten exportiert werden müssen, können Sie die Event Hubs-Seite anzeigen, um zu überprüfen, ob Nachrichten eingehen. Dieser Vorgang kann bis zu einer Stunde dauern.

1. Navigieren Sie in Azure zu Event Hub> Klicken Sie auf den Namespace>Event Hub> Klicken Sie auf den Event Hub.
2. Scrollen Sie unter Übersicht nach unten, und im Diagramm Nachrichten sollten eingehende Nachrichten angezeigt werden. Wenn keine Ergebnisse angezeigt werden, werden keine Nachrichten für Ihre benutzerdefinierte App erfasst.

Verwandte Themen

Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn