A streamelési API használata a Microsoft Defender Vállalati verzió

Ha a szervezet rendelkezik biztonsági műveleti központtal (SOC), a Végponthoz készült Microsoft Defender streamelési API-jának használata Defender Vállalati verzió és Microsoft 365 Vállalati prémium verzió. Az API lehetővé teszi az adatok, például az eszközfájl, a beállításjegyzék, a hálózat, a bejelentkezési események és egyebek átvitelét az alábbi szolgáltatások egyikére:

• Microsoft Sentinel, egy skálázható, natív felhőbeli megoldás, amely biztonsági információkat és eseménykezelést (SIEM) és biztonsági vezénylési, automatizálási és reagálási (SOAR) képességeket biztosít.
• Azure Event Hubs, egy modern big data streamelési platform és eseménybetöltési szolgáltatás, amely zökkenőmentesen integrálható más Azure- és Microsoft-szolgáltatásokkal, például a Stream Analytics, a Power BI és az Event Grid szolgáltatással, valamint olyan külső szolgáltatásokkal, mint az Apache Spark.
• Az Azure Storage, a Microsoft felhőalapú tárolási megoldása modern adattárolási forgatókönyvekhez, magas rendelkezésre állású, nagymértékben skálázható, tartós és biztonságos tárolással a felhőben található számos adatobjektum számára.

A streamelési API-val fejlett veszélyforrás-keresés és támadásészlelés használható Defender Vállalati verzió és Microsoft 365 Vállalati prémium verzió. A streamelési API lehetővé teszi, hogy a socsok több adatot tekintsenek meg az eszközökről, jobban megértsék, hogyan történt egy támadás, és lépéseket tegyenek az eszközbiztonság javítása érdekében.

A streamelési API használata a Microsoft Sentinel

1. Győződjön meg arról, hogy a Defender Vállalati verzió be van állítva és konfigurálva van, és hogy az eszközök már elő vannak készítve. Lásd: A Microsoft Defender Vállalati verzió beállítása és konfigurálása.

2. Hozzon létre egy Log Analytics-munkaterületet, amelyet a Sentinel fog használni. Lásd: Log Analytics-munkaterület létrehozása.

3. Előkészítés a Microsoft Sentinel. Lásd: Rövid útmutató: Microsoft Sentinel előkészítése.

4. Engedélyezze a Microsoft Defender XDR összekötőt. Lásd: Adatok csatlakoztatása Microsoft Defender XDR és Microsoft Sentinel között.

A streamelési API használata az Event Hubs szolgáltatással

1. Nyissa meg a Microsoft Defender portált, és jelentkezzen be.

2. Lépjen az Adatexportálási beállítások lapra.

3. Válassza az Adatexportálási beállítások hozzáadása lehetőséget.

4. Válasszon nevet az új beállításoknak.

5. Válassza az Események továbbítása Azure Event Hubs lehetőséget.

6. Írja be az Event Hubs nevét és event hubs-azonosítóját.

   Megjegyzés:

   Ha üresen hagyja az Event Hubs névmezőt, létrejön egy eseményközpont a kiválasztott névtér minden kategóriájához. Ha nem dedikált Event Hubs-fürtöt használ, vegye figyelembe, hogy legfeljebb 10 Event Hubs-névtér érhető el.

   Az Event Hubs-azonosító lekéréséhez lépjen a Azure Event Hubs névtérlapjára a Azure Portal. A Tulajdonságok lapon másolja ki a szöveget az Azonosító területen.

7. Válassza ki a streamelni kívánt eseményeket, majd válassza a Mentés lehetőséget.

A Azure Event Hubs eseményséma

Így néz ki a Azure Event Hubs eseményséma:

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

A Azure Event Hubs minden eseményközpont-üzenete tartalmaz egy rekordlistát. Minden rekord tartalmazza az esemény nevét, az esemény Defender Vállalati verzió fogadásának időpontját, a bérlőt, amelyhez tartozik (csak a bérlőtől kap eseményeket), valamint az esemény JSON formátumban, egy "properties" nevű tulajdonságban. A sémával kapcsolatos további információkért lásd: Proaktív veszélyforrás-keresés fejlett veszélyforrás-kereséssel Microsoft Defender XDR.

A streamelési API használata az Azure Storage-ral

Az Azure Storage használatához Azure-előfizetés szükséges. Mielőtt hozzákezdene, hozzon létre egy Storage-fiókot a bérlőben. Ezután jelentkezzen be az Azure-bérlőbe, és lépjen az ElőfizetésekAz előfizetés>erőforrás-szolgáltatói>>regisztráljon a Microsoft.insights szolgáltatásba.

Nyers adatstreamelés engedélyezése

1. Nyissa meg a Microsoft Defender portált, és jelentkezzen be.

2. Lépjen az Adatexportálási beállítások lapra a Microsoft Defender XDR.

3. Válassza az Adatexportálási beállítások hozzáadása lehetőséget.

4. Válasszon nevet az új beállításoknak.

5. Válassza az Események továbbítása az Azure Storage-ba lehetőséget.

6. Írja be a tárfiók erőforrás-azonosítóját. A tárfiók erőforrás-azonosítójának lekéréséhez lépjen a Tárfiók lapjára a Azure Portal. Ezután a Tulajdonságok lapon másolja ki a Tárfiók erőforrás-azonosítója területen található szöveget.

7. Válassza ki a streamelni kívánt eseményeket, majd válassza a Mentés lehetőséget.

Az Azure Storage-fiók eseményséma

Minden eseménytípushoz létrejön egy blobtároló. A blobok egyes sorainak sémája a következő JSON-fájl:

{
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

Minden blob több sort tartalmaz. Minden sor tartalmazza az esemény nevét, az esemény Defender Vállalati verzió fogadásának időpontját, azt a bérlőt, amelyhez tartozik (csak a bérlőtől kap eseményeket), valamint az esemény JSON formátumú tulajdonságokat tartalmaz. A Végponthoz készült Microsoft Defender események sémájával kapcsolatos további információkért lásd: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel Microsoft Defender XDR.

Lásd még

• Nyers adatstreamelési API a Végponthoz készült Defenderben
• A kezelés és az API-k áttekintése