Aracılığıyla paylaş

akış API'sini İş için Microsoft Defender ile kullanma

  • Makale

Kuruluşunuzun Güvenlik İşlemleri Merkezi (SOC) varsa, İş için Defender ve Microsoft 365 İş Ekstra için Uç Nokta için Microsoft Defender akış API'sini kullanabilirsiniz. API, cihaz dosyası, kayıt defteri, ağ, oturum açma olayları ve daha fazlası gibi verileri aşağıdaki hizmetlerden birine akışla aktarmanızı sağlar:

  • Microsoft Sentinel, güvenlik bilgileri ve olay yönetimi (SIEM) ile güvenlik düzenleme, otomasyon ve yanıt (SOAR) özellikleri sağlayan ölçeklenebilir, buluta özel bir çözüm.
  • Azure Event Hubs, apache Spark gibi dış hizmetlerle birlikte Stream Analytics, Power BI ve Event Grid gibi diğer Azure ve Microsoft hizmetleriyle sorunsuz bir şekilde tümleştirilebilen modern bir büyük veri akışı platformu ve olay alımı hizmetidir.
  • Microsoft'un modern veri depolama senaryoları için bulut depolama çözümü olan Azure Depolama, buluttaki çeşitli veri nesneleri için yüksek oranda kullanılabilir, yüksek oranda ölçeklenebilir, dayanıklı ve güvenli depolama alanı sunar.

Akış API'siyle, İş için Defender ve Microsoft 365 İş Ekstra ile gelişmiş tehdit avcılığı ve saldırı algılamayı kullanabilirsiniz. Akış API'leri, SOC'lerin cihazlar hakkında daha fazla veri görüntülemesine, bir saldırının nasıl gerçekleştiğini daha iyi anlamasına ve cihaz güvenliğini iyileştirmeye yönelik adımlar atlamasına olanak tanır.

akış API'sini Microsoft Sentinel ile kullanma

Not

Microsoft Sentinel ücretli bir hizmettir. Çeşitli planlar ve fiyatlandırma seçenekleri mevcuttur. Bkz. Microsoft Sentinel fiyatlandırması.

  1. İş için Defender ayarlandığından ve yapılandırıldığından ve cihazların zaten eklendiğinden emin olun. Bkz. İş için Microsoft Defender ayarlama ve yapılandırma.

  2. Sentinel ile kullanacağınız bir Log Analytics çalışma alanı oluşturun. Bkz . Log Analytics çalışma alanı oluşturma.

  3. Microsoft Sentinel'a ekleme. Bkz. Hızlı Başlangıç: Microsoft Sentinel ekleme.

  4. Microsoft Defender XDR bağlayıcısını etkinleştirin. Bkz. verileri Microsoft Defender XDR Microsoft Sentinel bağlama.

Event Hubs ile akış API'sini kullanma

Not

Azure Event Hubs bir Azure aboneliği gerektirir. Başlamadan önce kiracınızda bir olay hub'ı oluşturduğunuzdan emin olun. Ardından Azure portal oturum açın, Abonelikler>Aboneliğiniz>Kaynak Sağlayıcılarının>Microsoft.insights'a kaydolması bölümüne gidin.

  1. Microsoft Defender portalına gidin ve oturum açın.

  2. Veri dışarı aktarma ayarları sayfasına gidin.

  3. Veri dışarı aktarma ayarları ekle'yi seçin.

  4. Yeni ayarlarınız için bir ad seçin.

  5. Olayları Azure Event Hubs ilet'i seçin.

  6. Event Hubs adınızı ve Event Hubs kimliğinizi yazın.

    Not

    Event Hubs ad alanını boş bırakmak, seçili ad alanındaki her kategori için bir olay hub'ı oluşturur. Ayrılmış Event Hubs Kümesi kullanmıyorsanız 10 Event Hubs ad alanı sınırı olduğunu unutmayın.

    Event Hubs Kimliğinizi almak için Azure portal Azure Event Hubs ad alanı sayfanıza gidin. Özellikler sekmesinde, Kimliğin altındaki metni kopyalayın.

  7. Akış yapmak istediğiniz olayları seçin ve ardından Kaydet'i seçin.

Azure Event Hubs'daki olayların şeması

Azure Event Hubs'daki olayların şeması şöyle görünür:

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

Azure Event Hubs'deki her olay hub'ı iletisi bir kayıt listesi içerir. Her kayıt olay adını, İş için Defender olayı aldığı zamanı, ait olduğu kiracıyı (yalnızca kiracınızdan olayları alırsınız) ve JSON biçimindeki olayı "properties" adlı bir özellikte içerir. Şema hakkında daha fazla bilgi için bkz. Microsoft Defender XDR'da gelişmiş avcılık ile tehditleri proaktif olarak avlama.

Azure Depolama ile akış API'sini kullanma

Azure Depolama için bir Azure aboneliği gerekir. Başlamadan önce kiracınızda bir Depolama hesabı oluşturduğunuzdan emin olun. Ardından Azure kiracınızda oturum açın ve Abonelikler>Aboneliğiniz>Kaynak Sağlayıcılarının>Microsoft.insights'a kaydolması bölümüne gidin.

Ham veri akışını etkinleştirme

  1. Microsoft Defender portalına gidin ve oturum açın.

  2. Microsoft Defender XDR'da Veri dışarı aktarma ayarları sayfasına gidin.

  3. Veri dışarı aktarma ayarları ekle'yi seçin.

  4. Yeni ayarlarınız için bir ad seçin.

  5. Olayları Azure Depolama'ya ilet'i seçin.

  6. Depolama Hesabı Kaynak Kimliğinizi yazın. Depolama Hesabı Kaynak Kimliğinizi almak için Azure portal Depolama hesabı sayfanıza gidin. Ardından , Özellikler sekmesinde Depolama hesabı kaynak kimliği altındaki metni kopyalayın.

  7. Akış yapmak istediğiniz olayları seçin ve ardından Kaydet'i seçin.

Azure Depolama hesabındaki olayların şeması

Her olay türü için bir blob kapsayıcısı oluşturulur. Blobdaki her satırın şeması aşağıdaki JSON dosyasıdır:

{
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

Her blob birden çok satır içerir. Her satır olay adını, olayı İş için Defender saati, ait olduğu kiracıyı (yalnızca kiracınızdan olayları alırsınız) ve olayı JSON biçim özelliklerinde içerir. Uç Nokta için Microsoft Defender olayların şeması hakkında daha fazla bilgi için bkz. Microsoft Defender XDR'de gelişmiş tehdit avcılığı ile tehditleri proaktif olarak avlama.

Ayrıca bkz.