共用方式為


設定事件中樞

適用於:

注意事項

使用 MS Graph 安全性 API 試用新的 API。 如需詳細資訊,請參閱:使用 Microsoft Graph 安全性 API - Microsoft Graph |Microsoft Learn。

瞭解如何設定事件中樞,使其可以從 Microsoft Defender XDR 內嵌事件。

在事件中樞訂用帳戶中設定必要的資源提供者

  1. 登入 Azure 入口網站
  2. 取 [訂用帳戶]>{選取事件中樞將部署至 }>資源提供者的訂用帳戶。
  3. 確認是否已註冊 Microsoft.Insights 提供者。 否則,請加以註冊。

Microsoft Azure 入口網站中的服務提供者清單頁面

設定 Microsoft Entra 應用程式註冊

注意事項

您必須具有系統管理員角色或Microsoft必須設定為允許非系統管理員註冊應用程式。 您也必須具有擁有者或使用者存取系統管理員角色,才能將角色指派給服務主體。 如需詳細資訊,請參閱在 入口網站中建立 Microsoft Entra 應用程式 & 服務主體 - Microsoft身分識別平臺 |Microsoft檔

  1. 建立新的註冊 (,以在 Microsoft Entra ID>應用程式註冊>新註冊中建立服務主體) 。

  2. 在表單中只填入 [名稱 (不需要重新導向 URI) 。

    Microsoft Azure 入口網站中的應用程式名稱顯示區段

    Microsoft Azure 入口網站中的 一節

  3. 按兩下 [憑證] & 秘密[新增用戶端秘密],以建立秘密>:

    Microsoft Azure 入口網站中的 [用戶端密碼] 區段

Microsoft Graph API 會使用此客戶端密碼值來驗證正在註冊的應用程式。

警告

您將無法再次存取客戶端密碼,因此請務必儲存。

設定事件中樞命名空間

  1. 建立事件中樞命名空間:

    至 [事件中樞 > 新增 ],然後選取定價層、輸送量單位和自動擴充 (需要標準定價,且在功能下) 適合您預期的負載。 如需詳細資訊,請參閱 定價 - 事件中樞 |Microsoft Azure

    注意事項

    您可以使用現有的事件中樞,但輸送量和調整是在命名空間層級設定,因此建議您將事件中樞放在自己的命名空間中。

    Microsoft Azure 入口網站中的事件中樞區段

  2. 您也需要此事件中樞命名空間的資源識別碼。 移至您的 Azure 事件中樞命名空間頁面 > [屬性]。 複製 [資源標識符] 底下的文字,並將其記錄在下面的 [Microsoft 365 組態] 區段中使用。

    Microsoft Azure 入口網站中的事件中樞屬性區段

新增許可權

您必須將下列角色的許可權新增至事件中樞資料管理所涉及的實體:

  • 參與者:與此角色相關的許可權會新增至登入 Microsoft Defender 入口網站的實體。
  • 讀取器Azure 事件中樞數據接收者:這些角色的相關許可權會指派給已獲指派 服務主體 角色並登入 Microsoft Entra 應用程式的實體。

若要確保已新增這些角色,請執行下列步驟:

移至 [事件中樞命名空間>訪問控制] (IAM) > [角色指派] 底下的 [新增並驗證]。

Microsoft Azure 入口網站中的應用程式註冊服務主體區段

設定事件中樞

選項 1:

您可以在命名空間內建立事件中樞,而且您選取要匯出) 的所有 事件類型 (數據表都會寫入此 事件中 樞。

選項 2:

您可以將每個數據表匯出至事件中樞命名空間內的不同事件中樞, (每個事件類型) 一個事件中樞,而不是將所有事件類型 (數據表) 導出成一個事件中樞。

在此選項中,Microsoft Defender XDR 會為您建立事件中樞。

注意事項

如果您使用的事件中樞命名空間 不是 事件中樞叢集的一部分,則您最多只能選擇10個事件類型 (資料表) 在您定義的每個匯出設定中匯出,因為每個事件中樞命名空間有10個事件中樞的限制。

例如:

Microsoft Azure 入口網站中的事件中樞區段

如果您選擇此選項,可以跳至設定 Microsoft Defender XDR 傳送電子郵件表 一節。

>取 [事件中樞+ 事件中樞],在命名空間內建立事件中

分割區計數可讓您透過平行處理原則獲得更多輸送量,因此建議您根據預期的負載增加此數目。 建議使用預設訊息保留和擷取值 1 和 Off。

Microsoft Azure 入口網站中的事件中樞建立區段

針對這些事件中樞 (不是命名空間) ,您必須使用傳送、接聽宣告來設定共用存取原則。 按兩下 [事件中>共用存取>原則+ 新增],然後為其提供 (未在其他地方使用的原則名稱) 並核取 [傳送接聽]

Microsoft Azure 入口網站中的 [共用存取原則] 頁面

設定 Microsoft Defender XDR 以傳送電子郵件表

設定 Microsoft Defender XDR 透過事件中樞將電子郵件資料表傳送至 Splunk

  1. 使用符合下列所有角色需求的帳戶登入 Microsoft Defender XDR

    • 事件中樞 命名空間 資源層級或更高等級的參與者角色,適用於您要導出的事件中樞。 如果沒有此許可權,當您嘗試儲存設定時,將會收到匯出錯誤。

    • 系結至 Microsoft Defender XDR 和 Azure 之租使用者的安全性系統管理員角色。

      Microsoft Defender 入口網站的 [設定] 頁面

  2. 按兩下 [原始數據匯出 > +新增]

    您現在將使用上面記錄的數據。

    名稱:此值為本機值,且應為任何可在您的環境中運作的專案。

    將事件轉送至事件中樞:選取此複選框。

    事件中樞資源標識碼:此值是您在設定事件中樞時所記錄的事件中樞命名空間資源標識符。

    事件中樞名稱:如果您在事件中樞命名空間內建立事件中樞,請貼上您在上面記錄的事件中樞名稱。

    如果您選擇讓 Microsoft Defender XDR 為您建立每個事件類型的事件中樞 (數據表) ,請將此欄位保留空白。

    事件類型:選取您想要轉送到事件中樞的進階搜捕數據表,然後再選取至您的自定義應用程式。 警示數據表來自 Microsoft Defender XDR、Devices 數據表來自 Microsoft Defender for Endpoint (EDR) ,而電子郵件數據表則來自 Microsoft Defender for Office 365。 電子郵件事件會記錄所有電子郵件交易。 也會記錄安全連結 () 、附件 (安全附件) 以及 (ZAP) 的傳遞後事件的 URL,並可聯結至 [NetworkMessageId] 字段上的 [電子郵件事件]。

    Microsoft Azure 入口網站中的串流 API 設定頁面

  3. 請務必按兩下 [ 提交]

確認事件正在匯出至事件中樞

您可以執行基本的進階搜捕查詢,以確認事件是否已傳送至事件中樞。 選取 [搜捕進階搜捕>>查詢],然後輸入下列查詢:

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

此查詢會顯示在所有其他數據表的過去一小時內收到多少封已聯結的電子郵件。 它也會顯示您是否看到可匯出至事件中樞的事件。 如果此計數顯示 0,則您不會看到任何數據流向事件中樞。

Microsoft Azure 入口網站中的進階搜捕頁面

確認有要匯出的數據之後,您可以檢視 [事件中樞] 頁面來確認訊息是否已傳入。 此程式最多可能需要一小時的時間。

  1. 在 Azure 中,移至 事件中樞> 按兩下 命名空間>事件中樞> 按一下 事件中樞
  2. 在 [ 概觀] 底下,向下捲動,然後在 [訊息] 圖形中,您應該會看到 [傳入訊息]。 如果您沒有看到任何結果,則不會有訊息可供您的自定義應用程式內嵌。

 Microsoft 365 Azure 入口網站中的 [概觀] 頁面

使用 Microsoft Graph 安全性 API - Microsoft Graph |Microsoft Learn

提示

想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft Defender XDR 技術社群。