Konfigurace služby Event Hubs
Platí pro:
Poznámka
Vyzkoušejte naše nová rozhraní API s využitím rozhraní MS Graph Security API. Další informace najdete v tématu : Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn.
Zjistěte, jak nakonfigurovat službu Event Hubs tak, aby bylo možné ingestovat události z XDR v programu Microsoft Defender.
Nastavení požadovaného poskytovatele prostředků v předplatném služby Event Hubs
- Přihlaste se na portál Microsoft Azure.
- Vyberte Předplatná>{ Vyberte předplatné, které se nasadí do služby Event Hubs }>Poskytovatelé prostředků.
- Ověřte, jestli je zaregistrovaný poskytovatel Microsoft.Insights . V opačném případě ho zaregistrujte.
Nastavení registrace aplikace Microsoft Entra
Poznámka
Musíte mít roli správce nebo musí být nastavené ID Microsoft Entra tak, aby umožňovalo registraci aplikací bez oprávnění správce. Pokud chcete instančnímu objektu přiřadit roli, musíte mít také roli Vlastník nebo Správce uživatelských přístupů. Další informace najdete v tématu Vytvoření aplikace Microsoft Entra & instančního objektu na portálu – Microsoft Identity Platform | Microsoft Docs.
Vytvořte novou registraci (která ze svépodstaty> vytvoří instanční objekt) v Microsoft Entra ID> Registrace aplikacíNová registrace.
Vyplňte ve formuláři jenom název (identifikátor URI přesměrování se nevyžaduje).
Vytvořte tajný kód kliknutím na Certifikáty & tajné kódy>Nový tajný klíč klienta:
Tuto hodnotu tajného klíče klienta používají rozhraní Microsoft Graph API k ověření této aplikace, která je registrována.
Upozornění
Nebudete mít znovu přístup k tajnému klíči klienta, proto ho nezapomeňte uložit.
Nastavení oboru názvů služby Event Hubs
Vytvořte obor názvů služby Event Hubs:
Přejděte do centra > událostí Přidat a vyberte cenovou úroveň, jednotky propustnosti a automatické rozšiřování (vyžaduje standardní ceny a funkce) odpovídající očekávanému zatížení. Další informace najdete v tématu Ceny – Event Hubs | Microsoft Azure.
Poznámka
Můžete použít existující centrum událostí, ale propustnost a škálování jsou nastavené na úrovni oboru názvů, takže doporučujeme umístit centrum událostí do vlastního oboru názvů.
Budete také potřebovat ID prostředku tohoto oboru názvů služby Event Hubs. Přejděte na stránku > Vlastnosti oboru názvů služby Azure Event Hubs. Zkopírujte text v části ID prostředku a zaznamenejte ho pro použití v části Konfigurace Microsoftu 365 níže.
Přidání oprávnění
K entitám, které se podílejí na správě dat služby Event Hubs, musíte přidat oprávnění k následujícím rolím:
- Přispěvatel: Oprávnění související s touto rolí se přidají k entitě, která se přihlásí k portálu Microsoft Defender.
- Čtenář a příjemce dat centra událostí Azure: Oprávnění související s těmito rolemi se přiřazují entitě, která už má přiřazenou roli instančního objektu a přihlásí se k aplikaci Microsoft Entra.
Pokud chcete zajistit, aby byly tyto role přidány, proveďte následující krok:
Přejděte dočásti Řízení přístupu k oboru názvů >centra událostí(IAM)>Přidání a ověření v části Přiřazení rolí.
Nastavení služby Event Hubs
Možnost 1:
V rámci svého oboru názvů můžete vytvořit službu Event Hubs a všechny typy událostí (tabulky), které vyberete k exportu, se zapíšou do tohoto centra událostí.
Možnost 2:
Místo exportu všech typů událostí (tabulek) do jednoho centra událostí můžete exportovat každou tabulku do různých služeb Event Hubs v oboru názvů služby Event Hubs (jedno centrum událostí pro každý typ události).
V této možnosti vytvoří Microsoft Defender XDR službu Event Hubs za vás.
Poznámka
Pokud používáte obor názvů centra událostí, který není součástí clusteru centra událostí, budete moct vybrat až 10 typů událostí (tabulek) k exportu v každém nastavení exportu, které definujete, kvůli omezení Azure 10 centra událostí na obor názvů centra událostí.
Příklady:
Pokud zvolíte tuto možnost, můžete přeskočit na část Konfigurace Microsoft Defender XDR pro odesílání e-mailových tabulek .
Ve svém oboru názvů vytvořte službu Event Hubs tak, že vyberete Centrum>událostí+ Centrum událostí.
Počet oddílů umožňuje větší propustnost prostřednictvím paralelismu, proto doporučujeme tento počet zvýšit na základě očekávaného zatížení. Doporučuje se výchozí uchování zpráv a zachytávání hodnot 1 a Vypnuto.
Pro tyto služby Event Hubs (nikoli obor názvů) budete muset nakonfigurovat zásady sdíleného přístupu s deklaracemi identity odesílání a naslouchání. Klikněte na zásady >sdíleného přístupu centraudálostí>+ Přidat a pak zadejte název zásady (nepoužívá se jinde) a zaškrtněte políčko Odeslat a naslouchat.
Konfigurace Microsoft DefenderU XDR pro odesílání e-mailových tabulek
Nastavení odesílání e-mailových tabulek do Splunku přes Event Hubs v programu Microsoft Defender XDR
Přihlaste se k Microsoft DefenderU XDR pomocí účtu, který splňuje všechny následující požadavky na role:
Role Přispěvatel na úrovni prostředků oboru názvů služby Event Hubs nebo vyšší pro službu Event Hubs, do které budete exportovat. Bez tohoto oprávnění se při pokusu o uložení nastavení zobrazí chyba exportu.
Role správce zabezpečení v tenantovi vázaném na Microsoft Defender XDR a Azure.
Klikněte na Export > nezpracovaných dat +Přidat.
Teď použijete data, která jste si poznamenali výše.
Název: Tato hodnota je místní a měla by se jednat o to, co ve vašem prostředí funguje.
Předávání událostí do centra událostí: Zaškrtněte toto políčko.
ID prostředku centra událostí: Tato hodnota je ID prostředku oboru názvů služby Event Hubs, které jste zaznamenali při nastavování služby Event Hubs.
Název centra událostí: Pokud jste vytvořili službu Event Hubs v oboru názvů služby Event Hubs, vložte název služby Event Hubs, který jste si poznamenali výše.
Pokud se rozhodnete nechat Microsoft Defender XDR vytvářet služby Event Hubs pro jednotlivé typy událostí (tabulky), nechte toto pole prázdné.
Typy událostí: Vyberte tabulky rozšířeného proaktivního vyhledávání, které chcete předat do služby Event Hubs a pak do vlastní aplikace. Tabulky upozornění jsou z Microsoft DefenderU XDR, tabulky Zařízení jsou z Microsoft Defenderu for Endpoint (EDR) a tabulky e-mailů jsou z Microsoft Defenderu pro Office 365. Události e-mailu zaznamenávají všechny e-mailové transakce. Zaznamenávají se také adresy URL (Bezpečné odkazy), Přílohy (Bezpečné přílohy) a Události po doručení (ZAP) a dají se připojit k e-mailovým událostem v poli NetworkMessageId.
Nezapomeňte kliknout na Odeslat.
Ověřte, že se události exportují do služby Event Hubs.
Spuštěním základního dotazu rozšířeného proaktivního vyhledávání můžete ověřit, že se události odesílají do služby Event Hubs. Vyberte Dotaz>rozšířeného proaktivního vyhledávání>a zadejte následující dotaz:
EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count
Tento dotaz vám ukáže, kolik e-mailů bylo za poslední hodinu přijato ve všech ostatních tabulkách. Zobrazí se také informace o událostech, které by se daly exportovat do centra událostí. Pokud tento počet ukazuje 0, neuvidíte, že do služby Event Hubs nebudou chodit žádná data.
Jakmile ověříte, že existují data k exportu, můžete zobrazit stránku Event Hubs a ověřit, jestli jsou zprávy příchozí. Tento proces může trvat až jednu hodinu.
- V Azure přejděte do centra> událostí Klikněte na Centrum >událostíObor názvů> Klikněte na centrum událostí.
- V části Přehled se posuňte dolů a v grafu Zprávy byste měli vidět Příchozí zprávy. Pokud se nezobrazí žádné výsledky, nebudou k dispozici žádné zprávy, které by vaše vlastní aplikace mohly ingestovat.
Související témata
Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.