Настройка XDR в Microsoft Defender для потоковой передачи событий Расширенной охоты в Концентратор событий Azure

  • Статья

Область применения:

Примечание.

Попробуйте наши новые API с помощью API безопасности MS Graph. Дополнительные сведения см. в статье Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn.

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Предварительные условия

Перед настройкой XDR в Microsoft Defender для потоковой передачи данных в Центры событий убедитесь, что выполнены следующие предварительные требования:

  1. Создание Центров событий (дополнительные сведения см. в разделе Настройка Центров событий).

  2. Создание пространства имен Центров событий (дополнительные сведения см. в разделе Настройка пространства имен Центров событий).

  3. Добавьте разрешения для сущности, которая имеет права участника , чтобы эта сущность могла экспортировать данные в Центры событий. Дополнительные сведения о добавлении разрешений см. в разделе Добавление разрешений.

Примечание.

API потоковой передачи можно интегрировать с помощью Центров событий или учетной записи хранения Azure.

Включение потоковой передачи необработанных данных

  1. Войдите на портал Microsoft Defender как минимум в качестве администратора безопасности .

Важно!

Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.

  1. Перейдите на страницу параметров API потоковой передачи.

  2. Щелкните Добавить.

  3. Выберите имя для новых параметров.

  4. Выберите Переадресация событий в Концентратор событий Azure.

  5. Вы можете выбрать, хотите ли вы экспортировать данные событий в один концентратор событий или экспортировать каждую таблицу событий в разные Центры событий в пространстве имен Центров событий.

  6. Чтобы экспортировать данные событий в один концентратор событий, введите имя концентратора событий и идентификатор ресурса концентратора событий.

    Чтобы получить идентификатор ресурса Концентратора событий, перейдите на страницу пространства имен Центров событий Azure на вкладке >"СвойстваAzure>", скопируйте текст в разделе Идентификатор ресурса:

    Идентификатор ресурса концентратора событий

  7. Перейдите в раздел Поддерживаемые типы событий XDR Microsoft Defender в API потоковой передачи событий , чтобы просмотреть состояние поддержки типов событий в API потоковой передачи Microsoft 365.

  8. Выберите события для потоковой передачи и нажмите кнопку Сохранить.

Схема событий в Концентраторе событий Azure

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

  • Каждое сообщение Центров событий в Центрах событий Azure содержит список записей.

  • Каждая запись содержит имя события, время получения события в Microsoft Defender XDR, клиент, которому оно принадлежит (события будут получены только от клиента), а также событие в формате JSON в свойстве с именем properties.

  • Дополнительные сведения о схеме событий XDR в Microsoft Defender см. в статье Обзор расширенной охоты.

  • В разделе Расширенная охота таблица DeviceInfo содержит столбец MachineGroup , содержащий группу устройства. Здесь каждое событие также будет украшено этим столбцом.

Сопоставление типов данных

Чтобы получить типы данных для свойств события, сделайте следующее:

  1. Войдите в XDR в Microsoft Defender и перейдите на страницу Расширенная охота.

  2. Выполните следующий запрос, чтобы получить сопоставление типов данных для каждого события:

    {EventType}
| getschema
| project ColumnName, ColumnType

  • Ниже приведен пример события Сведений об устройстве:

    Пример запроса для сведений об устройстве

Оценка начальной емкости концентратора событий

Приведенный ниже расширенный запрос охоты может предоставить приблизительную оценку пропускной способности объема данных и начальной емкости концентратора событий на основе событий в секунду и предполагаемого МБ/с. Мы рекомендуем выполнять запрос в обычные рабочие часы, чтобы получить "реальную" пропускную способность.

let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60 
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec

Чтобы проверить различные ограничения Концентратора событий, ознакомьтесь с квотами и ограничениями Центров событий Azure.

Мониторинг созданных ресурсов

Вы можете отслеживать ресурсы, созданные API потоковой передачи, с помощью Azure Monitor. Дополнительные сведения см. в статье Экспорт данных рабочей области Log Analytics в Azure Monitor.

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender XDR Tech Community.