مشاركة عبر

تكوين Microsoft Defender XDR لدفق أحداث التتبع المتقدمة إلى Azure Event Hub

  • مقالة

ينطبق على:

ملاحظة

جرب واجهات برمجة التطبيقات الجديدة باستخدام واجهة برمجة تطبيقات أمان MS Graph. تعرف على المزيد في: استخدام واجهة برمجة تطبيقات أمان Microsoft Graph - Microsoft Graph | Microsoft Learn.

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.

المتطلبات الأساسية

قبل تكوين Microsoft Defender XDR لدفق البيانات إلى مراكز الأحداث، تأكد من استيفاء المتطلبات الأساسية التالية:

  1. إنشاء مراكز الأحداث (للحصول على معلومات، راجع إعداد مراكز الأحداث).

  2. إنشاء مساحة اسم مراكز الأحداث (للحصول على معلومات، راجع إعداد مساحة اسم مراكز الأحداث).

  3. أضف أذونات إلى الكيان الذي لديه امتيازات المساهم بحيث يمكن لهذا الكيان تصدير البيانات إلى مراكز الأحداث. لمزيد من المعلومات حول إضافة الأذونات، راجع إضافة أذونات

ملاحظة

يمكن دمج واجهة برمجة تطبيقات البث إما عبر مراكز الأحداث أو حساب تخزين Azure.

تمكين تدفق البيانات الأولية

  1. سجل الدخول إلى مدخل Microsoft Defenderكمسؤول أمان كحد أدنى.

هام

توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد استخدام الحسابات ذات الأذونات المنخفضة على تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

  1. انتقل إلى صفحة إعدادات واجهة برمجة تطبيقات البث.

  2. انقر فوق إضافة.

  3. اختر اسما للإعدادات الجديدة.

  4. اختر إعادة توجيه الأحداث إلى Azure Event Hub.

  5. يمكنك تحديد ما إذا كنت تريد تصدير بيانات الحدث إلى Event Hub واحد، أو لتصدير كل جدول أحداث إلى مراكز أحداث مختلفة في مساحة اسم مراكز الأحداث.

  6. لتصدير بيانات الحدث إلى Event Hub واحد، أدخل اسم Event Hubومعرف مورد مساحة اسم Event Hub.

    للحصول على معرف مورد مساحة اسم مركز الأحداث، انتقل إلى صفحة مساحة اسم Azure Event Hubsفي علامة التبويب>خصائص Azure> انسخ النص ضمن معرف المورد:

    معرف مورد Event Hub

  7. انتقل إلى أنواع أحداث Microsoft Defender XDR المدعومة في واجهة برمجة تطبيقات دفق الأحداث لمراجعة حالة دعم أنواع الأحداث في Microsoft 365 Streaming API.

  8. اختر الأحداث التي تريد دفقها وانقر فوق حفظ.

مخطط الأحداث في Azure Event Hub

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

  • تحتوي كل رسالة Event Hubs في Azure Event Hubs على قائمة بالسجلات.

  • يحتوي كل سجل على اسم الحدث والوقت الذي Microsoft Defender XDR تلقي الحدث والمستأجر الذي ينتمي إليه (ستحصل فقط على الأحداث من المستأجر الخاص بك)، والحدث بتنسيق JSON في خاصية تسمى "خصائص".

  • لمزيد من المعلومات حول مخطط أحداث Microsoft Defender XDR، راجع نظرة عامة على التتبع المتقدم.

  • في التتبع المتقدم، يحتوي جدول DeviceInfo على عمود يسمى MachineGroup يحتوي على مجموعة الجهاز. هنا سيتم تزيين كل حدث بهذا العمود أيضا.

تعيين أنواع البيانات

للحصول على أنواع البيانات لخصائص الحدث، قم بالخطوات التالية:

  1. سجل الدخول إلى Microsoft Defender XDR وانتقل إلى صفحة التتبع المتقدم.

  2. قم بتشغيل الاستعلام التالي للحصول على تعيين أنواع البيانات لكل حدث:

    {EventType}
| getschema
| project ColumnName, ColumnType

  • فيما يلي مثال لحدث معلومات الجهاز:

    استعلام مثال لمعلومات الجهاز

تقدير سعة Event Hub الأولية

يمكن أن يساعد استعلام التتبع المتقدم التالي في توفير تقدير تقريبي لمعدل نقل حجم البيانات وسعة مركز الأحداث الأولية استنادا إلى الأحداث/الثانية والميغابايت/ثانية المقدرة. نوصي بتشغيل الاستعلام خلال ساعات العمل العادية لتسجيل معدل النقل "الحقيقي".

let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60 
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec

للتحقق من حدود Event Hub المختلفة، راجع الحصة النسبية وحدود Azure Event Hubs.

مراقبة الموارد التي تم إنشاؤها

يمكنك مراقبة الموارد التي تم إنشاؤها بواسطة واجهة برمجة تطبيقات الدفق باستخدام Azure Monitor. لمزيد من المعلومات، راجع تصدير بيانات مساحة عمل Log Analytics في Azure Monitor.

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.