Event Hubs'ınızı yapılandırma
Şunlar için geçerlidir:
Not
MS Graph güvenlik API'lerini kullanarak yeni API'lerimizi deneyin. Daha fazla bilgi için bkz. Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn.
Event Hubs'ınızı Microsoft Defender XDR'den olayları alabilmesi için yapılandırmayı öğrenin.
Event Hubs aboneliğinde gerekli Kaynak Sağlayıcısını ayarlama
- Azure portalda oturum açın.
- Abonelikler>{Olay hub'larının }>Kaynak sağlayıcılarına dağıtılacağı aboneliği seçin.
- Microsoft.Insights Sağlayıcısının kayıtlı olup olmadığını doğrulayın. Aksi takdirde kaydedin.
Microsoft Entra Uygulama Kaydını Ayarlama
Not
Yönetici rolüne sahip olmanız veya Yönetici olmayanların uygulamaları kaydetmesine izin vermek için Microsoft Entra Kimliği ayarlanmalıdır. Hizmet sorumlusuna bir rol atamak için Sahip veya Kullanıcı Erişimi Yöneticisi rolüne de sahip olmanız gerekir. Daha fazla bilgi için bkz . Portalda hizmet sorumlusu & Microsoft Entra uygulaması oluşturma - Microsoft kimlik platformu | Microsoft Docs.
Microsoft Entra Id>Uygulama kayıtları> Yeni kayıt'ta yeni bir kayıt (doğal olarak bir hizmet sorumlusu oluşturan) oluşturun.
Formu yalnızca Ad ile doldurun (Yeniden Yönlendirme URI'sine gerek yoktur).
Sertifikalar & gizli dizilerYeni istemci gizli> dizisi'ne tıklayarak gizli dizi oluşturun:
Bu istemci gizli anahtarı değeri, Microsoft Graph API'leri tarafından kayıtlı olan bu uygulamanın kimliğini doğrulamak için kullanılır.
Uyarı
İstemci gizli dizisine yeniden erişemeyeceksiniz, bu nedenle gizli diziyi kaydettiğinizden emin olun.
Event Hubs ad alanını ayarlama
Event Hubs Ad Alanı Oluşturma:
Olay Hub'ı > Ekle'ye gidin ve beklediğiniz yüke uygun fiyatlandırma katmanını, aktarım hızı birimlerini ve Otomatik Şişirme'yi (standart fiyatlandırma ve özellikler altında gerektirir) seçin. Daha fazla bilgi için bkz . Fiyatlandırma - Event Hubs | Microsoft Azure.
Not
Mevcut bir olay hub'ını kullanabilirsiniz, ancak aktarım hızı ve ölçeklendirme ad alanı düzeyinde ayarlanır, bu nedenle bir olay hub'ını kendi ad alanına yerleştirmeniz önerilir.
Ayrıca bu Event Hubs Ad Alanının Kaynak Kimliğine de ihtiyacınız olacaktır. Azure Event Hubs ad alanı sayfanızın Özellikler bölümüne > gidin. Kaynak Kimliği altındaki metni kopyalayın ve aşağıdaki Microsoft 365 Yapılandırması bölümünde kullanılmak üzere kaydedin.
İzin ekleme
Event Hubs veri yönetimine katılan varlıklara aşağıdaki rollere izin eklemeniz gerekir:
- Katkıda Bulunan: Bu rolle ilgili izinler, Microsoft Defender portalında oturum açan varlığa eklenir.
- Okuyucu ve Azure Olay Hub'ı veri Alıcısı: Bu rollerle ilgili izinler, hizmet sorumlusu rolüne zaten atanmış olan varlığa atanır ve Microsoft Entra uygulamasında oturum açar.
Bu rollerin eklendiğinden emin olmak için aşağıdaki adımı gerçekleştirin:
Rol atamaları altında Olay Hub'ı Ad Alanı>Erişim Denetimi (IAM)>Ekle ve doğrula'ya gidin.
Event Hubs'ı ayarlama
Seçenek 1:
Ad Alanınızda bir Event Hubs oluşturabilirsiniz ve dışarı aktarmak için seçtiğiniz tüm Olay Türleri (Tablolar) bu olay hub'ına yazılır.
Seçenek 2:
Tüm Olay Türlerini (Tabloları) tek bir Olay Hub'ına aktarmak yerine, her tabloyu Event Hubs Ad Alanınızın içindeki farklı Event Hub'lara (Olay Türü başına bir Olay Hub'ı) dışarı aktarabilirsiniz.
Bu seçenekte, Microsoft Defender XDR sizin için Event Hubs oluşturur.
Not
Olay Hub'ı Kümesinin parçası olmayan bir Olay Hub'ı Ad Alanı kullanıyorsanız, Olay Hub'ı Ad Alanı başına 10 Olay Hub'ı ile ilgili Azure sınırlaması nedeniyle tanımladığınız her Dışarı Aktarma Ayarında dışarı aktarılacak en fazla 10 Olay Türü (Tablo) seçebilirsiniz.
Örneğin:
Bu seçeneği belirlerseniz, Microsoft Defender XDR'yi e-posta tablolarını gönderecek şekilde yapılandırma bölümüne atlayabilirsiniz.
Event Hub+ Event Hub'ı seçerek Ad Alanınızda Event Hubs> oluşturun.
Bölüm Sayısı paralellik aracılığıyla daha fazla aktarım hızı sağlar, bu nedenle beklediğiniz yüke göre bu sayıyı artırmanız önerilir. Varsayılan İleti Saklama ve Yakalama değerleri 1 ve Kapalı önerilir.
Bu Event Hub'lar için (ad alanı için değil), Gönder, Talepleri Dinle ile Paylaşılan Erişim İlkesi yapılandırmanız gerekir. Olay Hub'ı>Paylaşılan erişim ilkeleri>+ Ekle'ye tıklayın ve ardından bir İlke adı verin (başka bir yerde kullanılmaz) ve Gönder ve Dinle'yi işaretleyin.
Microsoft Defender XDR'yi e-posta tabloları gönderecek şekilde yapılandırma
Microsoft Defender XDR'nin Event Hubs aracılığıyla Splunk'a E-posta gönderme tablolarını ayarlama
Microsoft Defender XDR'de aşağıdaki tüm rol gereksinimlerini karşılayan bir hesapla oturum açın:
Ham Veri Dışarı Aktarma > +Ekle'ye tıklayın.
Şimdi yukarıda kaydettiğiniz verileri kullanacaksınız.
Ad: Bu değer yereldir ve ortamınızda çalışan her şey olmalıdır.
Olayları olay hub'ına iletme: Bu onay kutusunu seçin.
Event-Hub Kaynak Kimliği: Bu değer, Event Hubs'ı ayarlarken kaydettiğiniz Event Hubs Ad Alanı Kaynak Kimliğidir.
Event-Hub adı: Event Hubs Ad Alanınızın içinde bir Event Hubs oluşturduysanız, yukarıda kaydettiğiniz Event Hubs adını yapıştırın.
Microsoft Defender XDR'nin sizin için Olay Türleri (Tablolar) başına Event Hubs oluşturmasına izin vermeyi seçerseniz, bu alanı boş bırakın.
Olay Türleri: Event Hubs'a iletmek istediğiniz Gelişmiş Avcılık tablolarını seçin ve ardından özel uygulamanıza iletin. Uyarı tabloları Microsoft Defender XDR'den, Cihazlar tabloları Uç Nokta için Microsoft Defender'dan (EDR) ve E-posta tabloları ise Office 365 için Microsoft Defender'dan alınmaktadır. E-posta Olayları tüm E-posta İşlemlerini kaydeder. URL (Güvenli Bağlantılar), Ek (Güvenli Ekler) ve Teslim Sonrası Olaylar (ZAP) da kaydedilir ve NetworkMessageId alanındaki E-posta Olaylarına eklenebilir.
Gönder'e tıkladığından emin olun.
Olayların Event Hubs'a aktarıldığını doğrulayın
Temel bir Gelişmiş Tehdit Avcılığı sorgusu çalıştırarak olayların Event Hubs'a gönderildiğini doğrulayabilirsiniz. Tehdit Avcılığı>Gelişmiş Tehdit Avcılığı>Sorgusu'na tıklayın ve aşağıdaki sorguyu girin:
EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count
Bu sorgu, son bir saatte diğer tüm tablolarda kaç e-posta alındığını gösterir. Ayrıca olay hub'larına aktarılabilir olaylar görüp görmediğinizi de gösterir. Bu sayı 0 gösteriyorsa Event Hubs'a giden hiçbir veri görmezsiniz.
Dışarı aktarabileceğiniz veriler olduğunu doğruladıktan sonra, iletilerin geldiğini doğrulamak için Event Hubs sayfasını görüntüleyebilirsiniz. Bu işlem bir saate kadar sürebilir.
- Azure'da Olay Hub'ı'na > gidin Ad Alanı>Olay Hub'ına tıklayın Olay Hub'ına> tıklayın.
- Genel Bakış'ın altında aşağı kaydırın ve İletiler grafiğinde Gelen İletiler'i görmeniz gerekir. Herhangi bir sonuç görmüyorsanız, özel uygulamanızın alacağı hiçbir ileti olmayacaktır.
İlgili konular
Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.