Konfigurieren von Microsoft Defender XDR zum Streamen von Erweiterten Hunting-Ereignissen an Ihren Azure Event Hub
Gilt für:
Hinweis
Testen Sie unsere neuen APIs mithilfe der MS Graph-Sicherheits-API. Weitere Informationen finden Sie unter : Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn.
Wichtig
Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.
Voraussetzungen
Stellen Sie vor dem Konfigurieren von Microsoft Defender XDR zum Streamen von Daten an Event Hubs sicher, dass die folgenden Voraussetzungen erfüllt sind:
Erstellen eines Event Hubs (Weitere Informationen finden Sie unter Einrichten von Event Hubs).
Erstellen eines Event Hubs-Namespace (Weitere Informationen finden Sie unter Einrichten eines Event Hubs-Namespaces).
Fügen Sie der Entität, die über die Berechtigungen eines Mitwirkenden verfügt, Berechtigungen hinzu, damit diese Entität Daten in den Event Hubs exportieren kann. Weitere Informationen zum Hinzufügen von Berechtigungen finden Sie unter Hinzufügen von Berechtigungen.
Hinweis
Die Streaming-API kann entweder über Event Hubs oder ein Azure Storage-Konto integriert werden.
Aktivieren des Rohdatenstreamings
- Melden Sie sich mindestens als Sicherheitsadministrator bei Microsoft Defender Portal an.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Wechseln Sie zur Seite Streaming-API-Einstellungen.
Klicken Sie auf Hinzufügen.
Wählen Sie einen Namen für Ihre neuen Einstellungen aus.
Wählen Sie Ereignisse an Azure Event Hub weiterleiten aus.
Sie können auswählen, ob Sie die Ereignisdaten in einen einzelnen Event Hub oder jede Ereignistabelle in einen anderen Event Hubs in Ihrem Event Hubs-Namespace exportieren möchten.
Um die Ereignisdaten in einen einzelnen Event Hub zu exportieren, geben Sie Ihren Event Hub-Namen und ihre Event Hub-Namespace-Ressourcen-ID ein.
Um Ihre Event Hub-Namespace-Ressourcen-ID abzurufen, wechseln Sie auf der Registerkarte >Azure-Eigenschaften> zu Ihrer Azure Event Hubs Namespaceseite, und kopieren Sie den Text unter Ressourcen-ID:
Wechseln Sie zur Unterstützten Microsoft Defender XDR Ereignistypen in der Ereignisstreaming-API, um die Unterstützung status von Ereignistypen in der Microsoft 365 Streaming-API zu überprüfen.
Wählen Sie die Ereignisse aus, die Sie streamen möchten, und klicken Sie auf Speichern.
Das Schema der Ereignisse in Azure Event Hub
{
"records": [
{
"time": "<The time Microsoft Defender XDR received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
}
...
]
}
Jede Event Hubs-Nachricht in Azure Event Hubs enthält eine Liste von Datensätzen.
Jeder Datensatz enthält den Ereignisnamen, die Zeit, Microsoft Defender XDR das Ereignis empfangen hat, den Mandanten, zu dem er gehört (Sie erhalten nur Ereignisse von Ihrem Mandanten) und das Ereignis im JSON-Format in einer Eigenschaft namens "properties".
Weitere Informationen zum Schema von Microsoft Defender XDR Ereignissen finden Sie unter Übersicht über die erweiterte Suche.
In der erweiterten Suche enthält die Tabelle DeviceInfo eine Spalte mit dem Namen MachineGroup , die die Gruppe des Geräts enthält. Hier wird jede Veranstaltung auch mit dieser Spalte ergänzt.
Datentypzuordnung
Führen Sie die folgenden Schritte aus, um die Datentypen für Ereigniseigenschaften abzurufen:
Melden Sie sich bei Microsoft Defender XDR an, und wechseln Sie zur Seite Erweiterte Suche.
Führen Sie die folgende Abfrage aus, um die Datentypzuordnung für jedes Ereignis abzurufen:
{EventType} | getschema | project ColumnName, ColumnType
Hier sehen Sie ein Beispiel für das Device Info-Ereignis:
Schätzen der anfänglichen Event Hub-Kapazität
Die folgende erweiterte Suchabfrage kann eine grobe Schätzung des Datenvolumendurchsatzes und der anfänglichen Event Hub-Kapazität basierend auf Ereignissen/Sekunde und geschätzten MB/s liefern. Es wird empfohlen, die Abfrage während der regulären Geschäftszeiten auszuführen, um den "echten" Durchsatz zu erfassen.
let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec
Informationen zum Überprüfen der unterschiedlichen Event Hub-Grenzwerte finden Sie unter Azure Event Hubs Kontingent und Grenzwerte.
Überwachen erstellter Ressourcen
Sie können die von der Streaming-API erstellten Ressourcen mithilfe von Azure Monitor überwachen. Weitere Informationen finden Sie unter Datenexport des Log Analytics-Arbeitsbereichs in Azure Monitor.
Verwandte Themen
Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn
Unterstützte Microsoft Defender XDR Ereignistypen in der Ereignisstreaming-API
Stream Microsoft Defender XDR Von Ereignissen in Ihrem Azure-Speicherkonto
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.