Aracılığıyla paylaş


Event Hubs'ınızı yapılandırma

Şunlar için geçerlidir:

Not

MS Graph güvenlik API'lerini kullanarak yeni API'lerimizi deneyin. Daha fazla bilgi için bkz. Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn.

Event Hubs'ınızı Microsoft Defender XDR'den olayları alabilmesi için yapılandırmayı öğrenin.

Event Hubs aboneliğinde gerekli Kaynak Sağlayıcısını ayarlama

  1. Azure portalda oturum açın.
  2. Abonelikler>{Olay hub'larının }>Kaynak sağlayıcılarına dağıtılacağı aboneliği seçin.
  3. Microsoft.Insights Sağlayıcısının kayıtlı olup olmadığını doğrulayın. Aksi takdirde kaydedin.

Microsoft Azure portalındaki hizmet sağlayıcıları listesi sayfası

Microsoft Entra Uygulama Kaydını Ayarlama

Not

Yönetici rolüne sahip olmanız veya Yönetici olmayanların uygulamaları kaydetmesine izin vermek için Microsoft Entra Kimliği ayarlanmalıdır. Hizmet sorumlusuna bir rol atamak için Sahip veya Kullanıcı Erişimi Yöneticisi rolüne de sahip olmanız gerekir. Daha fazla bilgi için bkz . Portalda hizmet sorumlusu & Microsoft Entra uygulaması oluşturma - Microsoft kimlik platformu | Microsoft Docs.

  1. Microsoft Entra Id>Uygulama kayıtları> Yeni kayıt'ta yeni bir kayıt (doğal olarak bir hizmet sorumlusu oluşturan) oluşturun.

  2. Formu yalnızca Ad ile doldurun (Yeniden Yönlendirme URI'sine gerek yoktur).

    Microsoft Azure portalında uygulama adı görüntüleme bölümü

    Microsoft Azure portalındaki Genel Bakış bilgileri bölümü

  3. Sertifikalar & gizli dizilerYeni istemci gizli> dizisi'ne tıklayarak gizli dizi oluşturun:

    Microsoft Azure portalındaki İstemci gizli dizisi bölümü

Bu istemci gizli anahtarı değeri, Microsoft Graph API'leri tarafından kayıtlı olan bu uygulamanın kimliğini doğrulamak için kullanılır.

Uyarı

İstemci gizli dizisine yeniden erişemeyeceksiniz, bu nedenle gizli diziyi kaydettiğinizden emin olun.

Event Hubs ad alanını ayarlama

  1. Event Hubs Ad Alanı Oluşturma:

    Olay Hub'ı > Ekle'ye gidin ve beklediğiniz yüke uygun fiyatlandırma katmanını, aktarım hızı birimlerini ve Otomatik Şişirme'yi (standart fiyatlandırma ve özellikler altında gerektirir) seçin. Daha fazla bilgi için bkz . Fiyatlandırma - Event Hubs | Microsoft Azure.

    Not

    Mevcut bir olay hub'ını kullanabilirsiniz, ancak aktarım hızı ve ölçeklendirme ad alanı düzeyinde ayarlanır, bu nedenle bir olay hub'ını kendi ad alanına yerleştirmeniz önerilir.

    Microsoft Azure portalındaki olay hub'ları bölümü

  2. Ayrıca bu Event Hubs Ad Alanının Kaynak Kimliğine de ihtiyacınız olacaktır. Azure Event Hubs ad alanı sayfanızın Özellikler bölümüne > gidin. Kaynak Kimliği altındaki metni kopyalayın ve aşağıdaki Microsoft 365 Yapılandırması bölümünde kullanılmak üzere kaydedin.

    Microsoft Azure portalındaki event hubs özellikleri bölümü

İzin ekleme

Event Hubs veri yönetimine katılan varlıklara aşağıdaki rollere izin eklemeniz gerekir:

  • Katkıda Bulunan: Bu rolle ilgili izinler, Microsoft Defender portalında oturum açan varlığa eklenir.
  • Okuyucu ve Azure Olay Hub'ı veri Alıcısı: Bu rollerle ilgili izinler, hizmet sorumlusu rolüne zaten atanmış olan varlığa atanır ve Microsoft Entra uygulamasında oturum açar.

Bu rollerin eklendiğinden emin olmak için aşağıdaki adımı gerçekleştirin:

Rol atamaları altında Olay Hub'ı Ad Alanı>Erişim Denetimi (IAM)>Ekle ve doğrula'ya gidin.

Microsoft Azure portalında uygulama kaydı hizmet sorumlusu bölümü

Event Hubs'ı ayarlama

Seçenek 1:

Ad Alanınızda bir Event Hubs oluşturabilirsiniz ve dışarı aktarmak için seçtiğiniz tüm Olay Türleri (Tablolar) bu olay hub'ına yazılır.

Seçenek 2:

Tüm Olay Türlerini (Tabloları) tek bir Olay Hub'ına aktarmak yerine, her tabloyu Event Hubs Ad Alanınızın içindeki farklı Event Hub'lara (Olay Türü başına bir Olay Hub'ı) dışarı aktarabilirsiniz.

Bu seçenekte, Microsoft Defender XDR sizin için Event Hubs oluşturur.

Not

Olay Hub'ı Kümesinin parçası olmayan bir Olay Hub'ı Ad Alanı kullanıyorsanız, Olay Hub'ı Ad Alanı başına 10 Olay Hub'ı ile ilgili Azure sınırlaması nedeniyle tanımladığınız her Dışarı Aktarma Ayarında dışarı aktarılacak en fazla 10 Olay Türü (Tablo) seçebilirsiniz.

Örneğin:

Microsoft Azure portalında olay hub'ları bölümü

Bu seçeneği belirlerseniz, Microsoft Defender XDR'yi e-posta tablolarını gönderecek şekilde yapılandırma bölümüne atlayabilirsiniz.

Event Hub+ Event Hub'ı seçerek Ad Alanınızda Event Hubs> oluşturun.

Bölüm Sayısı paralellik aracılığıyla daha fazla aktarım hızı sağlar, bu nedenle beklediğiniz yüke göre bu sayıyı artırmanız önerilir. Varsayılan İleti Saklama ve Yakalama değerleri 1 ve Kapalı önerilir.

Microsoft Azure portalında olay hub'ları oluşturma bölümü

Bu Event Hub'lar için (ad alanı için değil), Gönder, Talepleri Dinle ile Paylaşılan Erişim İlkesi yapılandırmanız gerekir. Olay Hub'ı>Paylaşılan erişim ilkeleri>+ Ekle'ye tıklayın ve ardından bir İlke adı verin (başka bir yerde kullanılmaz) ve Gönder ve Dinle'yi işaretleyin.

Microsoft Azure portalındaki Paylaşılan erişim ilkeleri sayfası

Microsoft Defender XDR'yi e-posta tabloları gönderecek şekilde yapılandırma

Microsoft Defender XDR'nin Event Hubs aracılığıyla Splunk'a E-posta gönderme tablolarını ayarlama

  1. Microsoft Defender XDR'de aşağıdaki tüm rol gereksinimlerini karşılayan bir hesapla oturum açın:

    • Dışarı aktaracağın Event Hubs için Event Hubs Ad Alanı Kaynağı düzeyinde veya daha yüksek bir düzeyde katkıda bulunan rolü. Bu izin olmadan, ayarları kaydetmeye çalıştığınızda dışarı aktarma hatası alırsınız.

    • Microsoft Defender XDR ve Azure'a bağlı kiracıda Güvenlik Yöneticisi Rolü.

      Microsoft Defender portalının Ayarlar sayfası

  2. Ham Veri Dışarı Aktarma > +Ekle'ye tıklayın.

    Şimdi yukarıda kaydettiğiniz verileri kullanacaksınız.

    Ad: Bu değer yereldir ve ortamınızda çalışan her şey olmalıdır.

    Olayları olay hub'ına iletme: Bu onay kutusunu seçin.

    Event-Hub Kaynak Kimliği: Bu değer, Event Hubs'ı ayarlarken kaydettiğiniz Event Hubs Ad Alanı Kaynak Kimliğidir.

    Event-Hub adı: Event Hubs Ad Alanınızın içinde bir Event Hubs oluşturduysanız, yukarıda kaydettiğiniz Event Hubs adını yapıştırın.

    Microsoft Defender XDR'nin sizin için Olay Türleri (Tablolar) başına Event Hubs oluşturmasına izin vermeyi seçerseniz, bu alanı boş bırakın.

    Olay Türleri: Event Hubs'a iletmek istediğiniz Gelişmiş Avcılık tablolarını seçin ve ardından özel uygulamanıza iletin. Uyarı tabloları Microsoft Defender XDR'den, Cihazlar tabloları Uç Nokta için Microsoft Defender'dan (EDR) ve E-posta tabloları ise Office 365 için Microsoft Defender'dan alınmaktadır. E-posta Olayları tüm E-posta İşlemlerini kaydeder. URL (Güvenli Bağlantılar), Ek (Güvenli Ekler) ve Teslim Sonrası Olaylar (ZAP) da kaydedilir ve NetworkMessageId alanındaki E-posta Olaylarına eklenebilir.

    Microsoft Azure portalındaki Akış API'si ayarları sayfası

  3. Gönder'e tıkladığından emin olun.

Olayların Event Hubs'a aktarıldığını doğrulayın

Temel bir Gelişmiş Tehdit Avcılığı sorgusu çalıştırarak olayların Event Hubs'a gönderildiğini doğrulayabilirsiniz. Tehdit Avcılığı>Gelişmiş Tehdit Avcılığı>Sorgusu'na tıklayın ve aşağıdaki sorguyu girin:

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

Bu sorgu, son bir saatte diğer tüm tablolarda kaç e-posta alındığını gösterir. Ayrıca olay hub'larına aktarılabilir olaylar görüp görmediğinizi de gösterir. Bu sayı 0 gösteriyorsa Event Hubs'a giden hiçbir veri görmezsiniz.

Microsoft Azure portalındaki gelişmiş tehdit avcılığı sayfası

Dışarı aktarabileceğiniz veriler olduğunu doğruladıktan sonra, iletilerin geldiğini doğrulamak için Event Hubs sayfasını görüntüleyebilirsiniz. Bu işlem bir saate kadar sürebilir.

  1. Azure'da Olay Hub'ı'na > gidin Ad Alanı>Olay Hub'ına tıklayın Olay Hub'ına> tıklayın.
  2. Genel Bakış'ın altında aşağı kaydırın ve İletiler grafiğinde Gelen İletiler'i görmeniz gerekir. Herhangi bir sonuç görmüyorsanız, özel uygulamanızın alacağı hiçbir ileti olmayacaktır.

 Microsoft 365 Azure portalındaki Genel Bakış sayfası

Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.