Suoratoiston ohjelmointirajapinnan käyttäminen Microsoft Defender for Business kanssa
Jos organisaatiossasi on SoC (Security Operations Center), Microsoft Defender for Endpoint suoratoiston ohjelmointirajapintaa voi käyttää Defender for Business ja Microsoft 365 Business Premium. Ohjelmointirajapinnan avulla voit suoratoistaa tietoja, kuten laitetiedostoa, rekisteriä, verkkoa, kirjautumistapahtumia ja paljon muuta seuraavista palveluista:
- Microsoft Sentinel, skaalattava, pilvinatiivi ratkaisu, joka tarjoaa suojaustiedot ja tapahtumien hallinnan (SIEM) sekä suojauksen orkestroinnin, automaation ja vastauksen (SOAR) ominaisuudet.
- Azure-tapahtumatoiminnot, nykyaikainen massadatan suoratoistoympäristö ja tapahtumien käsittelypalvelu, joka voidaan integroida saumattomasti muihin Azure- ja Microsoft-palveluihin, kuten Stream Analyticsiin, Power BI:hin ja Event Gridiin, sekä ulkopuolisiin palveluihin, kuten Apache Sparkiin.
- Azure-tallennustila, Microsoftin pilvitallennusratkaisu moderneihin tallennustilan tilanteisiin, jossa on erittäin saatavilla, erittäin skaalattava, kestävä ja turvallinen tallennustila erilaisille pilvipalvelussa oleviin tieto-objekteihin.
Suoratoiston ohjelmointirajapinnan avulla voit käyttää kehittynyttä metsästys- ja hyökkäystunnistusta Defender for Business ja Microsoft 365 Business Premium kanssa. Suoratoiston ohjelmointirajapinnan avulla SOC-tietokoneet voivat tarkastella enemmän tietoja laitteista, ymmärtää paremmin hyökkäyksen ilmenemistä ja ryhtyä toimiin parantaakseen laitteen suojausta.
Suoratoiston ohjelmointirajapinnan käyttäminen Microsoft Sentinel kanssa
Huomautus
Microsoft Sentinel on maksullinen palvelu. Saatavilla on useita palvelupaketteja ja hinnoitteluvaihtoehtoja. Katso Microsoft Sentinel hinnoittelu.
Varmista, että Defender for Business on määritetty ja että laitteet on jo otettu käyttöön. Katso Microsoft Defender for Business määrittäminen.
Luo Log Analytics -työtila, jota käytät Sentinel kanssa. Katso Log Analytics -työtilan luominen.
Perehdytä Microsoft Sentinel. Katso Pikaopas: Microsoft Sentinel.
Ota käyttöön Microsoft Defender XDR liitin. Katso Tietojen yhdistäminen Microsoft Defender XDR Microsoft Sentinel.
Suoratoiston ohjelmointirajapinnan käyttäminen tapahtumatoimintojen kanssa
Huomautus
Azure-tapahtumatoiminnot edellyttävät Azure-tilausta. Varmista ennen aloittamista, että luot tapahtumakeskuksen vuokraajaasi. Kirjaudu sitten Azure-portaali, siirry kohtaan Tilaukset>Tilaus>resurssipalveluntarjoajien>rekisteröinti Microsoft.insightsiin.
Siirry Microsoft Defender portaaliin ja kirjaudu sisään.
Valitse Lisää tietojen vientiasetukset.
Valitse uusille asetuksille nimi.
Valitse Välitä tapahtumat Azure-tapahtumatoimintoihin.
Kirjoita tapahtumatoimintosi nimi ja tapahtumatoiminnon tunnus.
Huomautus
Jos Tapahtumatoimintojen nimi -kenttä jätetään tyhjäksi, tapahtumatoiminto luodaan kullekin valitun nimitilan luokalle. Jos et käytä varattua tapahtumatoimintoklusteria, muista, että tapahtumatoimintojen nimitilojen enimmäismäärä on 10.
Jos haluat saada tapahtumatoimintosi tunnuksen, siirry azure-tapahtumatoimintojen nimitilasivulle Azure-portaali. Kopioi Ominaisuudet-välilehdessätunnus-kohdan alla oleva teksti.
Valitse tapahtumat, jotka haluat suoratoistaa, ja valitse sitten Tallenna.
Azure-tapahtumatoimintojen tapahtumien rakenne
Azure-tapahtumatoimintojen tapahtumien rakenne näyttää tältä:
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Jokainen Azure-tapahtumatoimintojen tapahtumakeskuksen viesti sisältää tietueluettelon. Jokainen tietue sisältää tapahtuman nimen, kellonajan, Defender for Business vastaanottaneen tapahtuman, vuokraajan, johon se kuuluu (saat tapahtumia vain vuokraajaltasi) ja tapahtuman JSON-muodossa ominaisuudessa, jonka nimi on "ominaisuudet". Lisätietoja rakenteesta on kohdassa Uhkien ennakoiva metsästys kehittyneellä metsästyksellä Microsoft Defender XDR.
Suoratoiston ohjelmointirajapinnan käyttö Azure-tallennuksen kanssa
Azure-tallennus edellyttää Azure-tilausta. Ennen kuin aloitat, varmista, että luot tallennustilin vuokraajassasi. Kirjaudu sitten Sisään Azure-vuokraajaan ja siirry kohtaan Tilaukset>Tilaus>resurssipalveluntarjoajien>rekisteröinti Microsoft.insightsiin.
Ota raakatietojen virtauttaminen käyttöön
Siirry Microsoft Defender portaaliin ja kirjaudu sisään.
Siirry Microsoft Defender XDR tietojen viennin asetusten sivulle.
Valitse Lisää tietojen vientiasetukset.
Valitse uusille asetuksille nimi.
Valitse Välitä tapahtumat Azure-tallennukseen.
Kirjoita tallennustilisi resurssitunnus. Jos haluat saada tallennustilin resurssitunnuksen, siirry Azure-portaali Tallennustili-sivulle. Kopioi sitten Ominaisuudet-välilehdessä teksti kohdasta Tallennustilin resurssitunnus.
Valitse tapahtumat, jotka haluat suoratoistaa, ja valitse sitten Tallenna.
Azure-tallennustilin tapahtumien rakenne
Kullekin tapahtumatyypille luodaan blob-säilö. Blob-objektin kunkin rivin rakenne on seuraava JSON-tiedosto:
{
"time": "<The time WDATP received the event>"
"tenantId": "<Your tenant ID>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
Jokainen blob-objekti sisältää useita rivejä. Kullakin rivillä on tapahtuman nimi, aika, Defender for Business vastaanotti tapahtuman, vuokraajan, johon se kuuluu (saat tapahtumia vain vuokraajaltasi) ja tapahtuman JSON-muoto-ominaisuuksissa. Lisätietoja Microsoft Defender for Endpoint tapahtumien rakenteesta on kohdassa Uhkien ennakoiva metsästys kehittyneellä metsästyksellä Microsoft Defender XDR.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Raakatietojen suoratoiston ohjelmointirajapinta Defender for Endpointissa