Configureer Microsoft Defender XDR om Advanced Hunting-gebeurtenissen te streamen naar uw Azure Event Hub

Van toepassing op:

Opmerking

Probeer onze nieuwe API's met behulp van de MS Graph-beveiligings-API. Meer informatie vindt u op: De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn.

Belangrijk

Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.

Vereisten

Voordat u Microsoft Defender XDR configureert om gegevens te streamen naar Event Hubs, moet u ervoor zorgen dat aan de volgende vereisten wordt voldaan:

  1. Een Event Hubs maken (zie Event Hubs instellen voor meer informatie).

  2. Een Event Hubs-naamruimte maken (zie Event Hubs-naamruimte instellen voor meer informatie).

  3. Voeg machtigingen toe aan de entiteit die de bevoegdheden van een inzender heeft, zodat deze entiteit gegevens naar de Event Hubs kan exporteren. Zie Machtigingen toevoegen voor meer informatie over het toevoegen van machtigingen.

Opmerking

De Streaming-API kan worden geïntegreerd via Event Hubs of Azure Storage-account.

Streaming van onbewerkte gegevens inschakelen

  1. Meld u Microsoft Defender portal aan als beveiligingsbeheerder of hoger.

  2. Ga naar de instellingenpagina van de Streaming-API.

  3. Kies Toevoegen.

  4. Kies een naam voor uw nieuwe instellingen.

  5. Kies Gebeurtenissen doorsturen naar Azure Event Hub.

  6. U kunt selecteren of u de gebeurtenisgegevens wilt exporteren naar één Event Hub of dat u elke gebeurtenistabel wilt exporteren naar een andere Event Hubs in uw Event Hubs-naamruimte.

  7. Als u de gebeurtenisgegevens wilt exporteren naar één Event Hub, voert u de naam van de Event Hub en de resource-id van de Event Hub-naamruimte in.

    Als u de resource-id van de Event Hub-naamruimte wilt ophalen, gaat u naar de pagina Azure Event Hubs naamruimte op Azure> tabblad >Eigenschappen kopieert u de tekst onder Resource-id:

    Een Event Hub-resource-id

  8. Ga naar de Ondersteunde Microsoft Defender XDR gebeurtenistypen in gebeurtenisstreaming-API om de ondersteuningsstatus van gebeurtenistypen in de Microsoft 365 Streaming-API te bekijken.

  9. Kies de gebeurtenissen die u wilt streamen en selecteer Opslaan.

Het schema van de gebeurtenissen in Azure Event Hub

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

  • Elk Event Hubs-bericht in Azure Event Hubs bevat een lijst met records.

  • Elke record bevat de naam van de gebeurtenis, de tijd Microsoft Defender XDR de gebeurtenis heeft ontvangen, de tenant waartoe deze behoort (u krijgt alleen gebeurtenissen van uw tenant) en de gebeurtenis in JSON-indeling in een eigenschap met de naam 'eigenschappen'.

  • Zie Overzicht van geavanceerde opsporing voor meer informatie over het schema van Microsoft Defender XDR gebeurtenissen.

  • In Geavanceerde opsporing bevat de tabel DeviceInfo een kolom met de naam MachineGroup die de groep van het apparaat bevat. Hier is elke gebeurtenis ook voorzien van deze kolom.

Toewijzing van gegevenstypen

Voer de volgende stappen uit om de gegevenstypen voor gebeurteniseigenschappen op te halen:

  1. Meld u aan Microsoft Defender XDR en ga naar de pagina Geavanceerde opsporing.

  2. Voer de volgende query uit om de toewijzing van de gegevenstypen voor elke gebeurtenis op te halen:

    {EventType}
| getschema
| project ColumnName, ColumnType

  • Hier volgt een voorbeeld van de gebeurtenis Apparaatgegevens:

    Een voorbeeldquery voor apparaatgegevens

Initiële Event Hub-capaciteit schatten

De volgende geavanceerde opsporingsquery kan helpen bij het maken van een ruwe schatting van de gegevensvolumedoorvoer en de initiële Event Hub-capaciteit op basis van gebeurtenissen per seconde en geschatte MB/sec. We raden u aan de query uit te voeren tijdens normale kantooruren om 'echte' doorvoer vast te leggen.

let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60 
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec

Als u de verschillende Event Hub-limieten wilt controleren, bekijkt u Azure Event Hubs quotum en limieten.

Gemaakte resources bewaken

U kunt de resources bewaken die door de streaming-API zijn gemaakt met behulp van Azure Monitor. Zie Log Analytics-werkruimtegegevens exporteren in Azure Monitor voor meer informatie.

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.

  • Last updated on