Tapahtumatoimintojen määrittäminen
Koskee seuraavia:
Huomautus
Kokeile uusia ohjelmointirajapintojamme MS Graphin suojauksen ohjelmointirajapinnan avulla. Lisätietoja on osoitteessa: Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen - Microsoft Graph | Microsoft Learn.
Lue, miten voit määrittää tapahtumatoimintosi niin, että se voi ottaa tapahtumia käyttöön Microsoft Defender XDR:ltä.
Pakollisen resurssipalvelun määrittäminen Tapahtumatoiminnot-tilauksessa
- Kirjaudu Azure-portaaliin.
- Valitse Tilaukset>{ Valitse tilaus, jonka tapahtumatoiminnot otetaan käyttöön }>Resurssin palveluntarjoajille.
- Tarkista, onko Microsoft.Insights-palvelu rekisteröity. Muussa tapauksessa rekisteröi se.
Microsoft Entra -sovelluksen rekisteröinnin määrittäminen
Huomautus
Sinulla on oltava järjestelmänvalvojan rooli tai Microsoft Entra -tunnus on määritettävä, jotta muut kuin järjestelmänvalvojat voivat rekisteröidä sovelluksia. Sinulla on myös oltava omistajan tai käyttäjän käyttöoikeuden järjestelmänvalvojan rooli, jotta voit määrittää palvelun päänimelle roolin. Lisätietoja on artikkelissa Microsoft Entra -sovelluksen luominen & palvelun päänimi portaalissa – Microsoft identity platform | Microsoft Docs.
Luo uusi rekisteröinti (joka luo luontaisesti palvelun päänimen) Microsoft Entra ID>-sovelluksen rekisteröinteihin>Uusi rekisteröinti.
Täytä lomake pelkällä nimellä (uudelleenohjauksen URI-tunnusta ei tarvita).
Luo salaisuus valitsemalla Varmenteet & salasanat>Uusi asiakassalaisuus:
Microsoft Graph -ohjelmointirajapinnat käyttävät tätä asiakkaan salasana-arvoa rekisteröitävän sovelluksen todentamiseen.
Varoitus
Asiakassalaisuutta ei voi käyttää uudelleen, joten muista tallentaa se.
Määritä tapahtumatoimintojen nimitila
Luo tapahtumatoimintojen nimitila:
Siirry tapahtumakeskuksen > lisäämiseen ja valitse hinnoittelutaso, siirtomääräyksiköt ja automaattinen täyttö (edellyttää vakiohinnoittelua ja ominaisuuksia) haluamasi kuormituksen mukaan. Lisätietoja on kohdassa Hinnoittelu - Tapahtumatoiminnot | Microsoft Azure.
Huomautus
Voit käyttää olemassa olevaa tapahtumakeskusta, mutta siirtomäärä ja skaalaus määritetään nimitilatasolla, joten on suositeltavaa sijoittaa tapahtumakeskus omaan nimitilaansa.
Tarvitset myös tämän tapahtumatoiminnon nimitilan resurssitunnuksen. Siirry Azure-tapahtumatoimintojen nimitilasivun > ominaisuuksiin. Kopioi resurssitunnus-kohdan teksti ja tallenna se käytettäväksi alla olevassa Microsoft 365 :n määritysosiossa.
Lisää käyttöoikeuksia
Sinun on lisättävä seuraaviin rooleihin käyttöoikeudet entiteetteihin, jotka osallistuvat tapahtumakeskusten tietojen hallintaan:
- Osallistuja: Tähän rooliin liittyvät käyttöoikeudet lisätään entiteettiin, joka kirjautuu sisään Microsoft Defender -portaaliin.
- Lukijan ja Azure Event Hubin tietojen vastaanotin: Näihin rooleihin liittyvät käyttöoikeudet määritetään entiteetille, jolle on jo määritetty palvelun päänimen rooli ja joka kirjautuu sisään Microsoft Entra -sovellukseen.
Voit varmistaa, että nämä roolit on lisätty, suorittamalla seuraava vaihe:
Siirry kohtaan Tapahtumakeskuksen nimitilan>käyttöoikeuksien valvonta (IAM)>Lisää ja vahvista kohdasta Roolimääritykset.
Tapahtumatoimintojen määrittäminen
Vaihtoehto 1:
Voit luoda tapahtumatoimintoja nimitilassasi, ja kaikki vietävät tapahtumatyypit (taulukot) kirjoitetaan tähän yhteen tapahtumatoimintoon.
Vaihtoehto 2:
Sen sijaan, että viet kaikki tapahtumatyypit (taulukot) yhteen tapahtumatoimintoon, voit viedä kunkin taulukon eri tapahtumatoimintoihin tapahtumatoimintojen nimitilan sisällä (yksi tapahtumatoiminto tapahtumatyyppiä kohden).
Tässä vaihtoehdossa Microsoft Defender XDR luo tapahtumatoiminnot puolestasi.
Huomautus
Jos käytät tapahtumakeskuksen nimitilaa, joka ei ole osa tapahtumakeskusklusteria, voit valita enintään 10 tapahtumatyyppiä (taulukkoa), jotka viedään kussakin määrittämässäsi vientiasetuksessa, koska Azuren rajoitus on 10 tapahtumatoimintoa tapahtumatoiminnon nimitilaa kohden.
Esimerkki:
Jos valitset tämän vaihtoehdon, voit siirtyä Määritä Microsoft Defenderin XDR-asetus -kohtaan sähköpostitaulukoiden lähettämiseksi .
Luo tapahtumatoimintoja nimitilassasi valitsemalla Event Hub>+ Event Hub.
Osioiden määrä sallii enemmän siirtomäärää rinnakkaisuuden kautta, joten on suositeltavaa suurentaa tätä määrää odottamasi kuormituksen perusteella. Oletusarvoiset viestien säilytys- ja sieppausarvot 1 ja Ei käytössä ovat suositeltavat.
Näissä tapahtumatoiminnoissa (ei nimitilassa) sinun on määritettävä jaettujen käyttöoikeuksien käytäntö lähetä, kuuntele väitteitä -toiminnolla. Napsauta tapahtumakeskuksen>jaettujen käyttöoikeuksien käytäntöjä>+ Lisää , anna sille käytännön nimi (ei käytössä muualla) ja valitse Lähetä ja kuuntele.
Määritä Microsoft Defender XDR lähettämään sähköpostitaulukoita
Määritä Microsoft Defenderin XDR-lähetyssähköpostitaulukot Splunkiin tapahtumatoimintojen kautta
Kirjaudu sisään Microsoft Defender XDR :ään tilillä, joka täyttää kaikki seuraavat roolivaatimukset:
Osallistujan rooli Tapahtumatoiminnot-nimitilan resurssitasolla tai sitä korkeammalla tasolla tapahtumatoiminnoissa, joihin olet viemässä. Ilman tätä käyttöoikeutta saat vientivirheen, kun yrität tallentaa asetukset.
Suojauksen järjestelmänvalvojan rooli vuokraajassa, joka on sidottu Microsoft Defender XDR:ään ja Azureen.
Napsauta Raakatietojen vienti > +Lisää.
Käytät nyt tietoja, jotka tallensit edellä.
Nimi: Tämä arvo on paikallinen, ja sen pitäisi toimia ympäristössäsi.
Lähetä tapahtumat edelleen tapahtumakeskukseen: Valitse tämä valintaruutu.
Tapahtumakeskuksen resurssitunnus: Tämä arvo on tapahtumatoimintojen nimitilan resurssitunnus, jonka tallensit tapahtumatoimintoja määrittäessäsi.
Event-Hubin nimi: Jos loit tapahtumatoiminnot tapahtumatoimintojen nimitilaan, liitä yllä tallentamasi tapahtumatoimintojen nimi.
Jos päätät antaa Microsoft Defender XDR:n luoda tapahtumatoimintoja tapahtumatyyppejä (taulukoita) kohden puolestasi, jätä tämä kenttä tyhjäksi.
Tapahtumatyypit: Valitse kehittyneen metsästyksen taulukot, jotka haluat lähettää edelleen tapahtumatoimintoihin ja sitten mukautettuun sovellukseesi. Ilmoitustaulukot ovat Microsoft Defender XDR:stä, Laitteet-taulukot Microsoft Defender for Endpointista (EDR) ja Sähköposti-taulukot Microsoft Defender for Office 365:stä. Sähköpostitapahtumat kirjaavat kaikki sähköpostitapahtumat. Myös URL-osoite (turvalliset linkit), liite (turvalliset liitteet) ja toimituksen jälkeiset tapahtumat (ZAP) tallennetaan, ja ne voidaan liittää Sähköpostitapahtumat NetworkMessageId-kentässä.
Muista napsauttaa Lähetä.
Varmista, että tapahtumat viedään tapahtumatoimintoihin
Voit varmistaa, että tapahtumat lähetetään tapahtumatoimintoihin suorittamalla perustasoinen kehittynyt metsästyskysely. Valitse Metsästyksen>kehittyneen metsästyksen>kysely ja kirjoita seuraava kysely:
EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count
Tämä kysely näyttää, kuinka monta sähköpostiviestiä on vastaanotettu viime tunnin aikana kaikkiin muihin taulukoihin liittyneenä. Se näyttää myös, jos näet tapahtumia, jotka voidaan viedä tapahtumatoimintoihin. Jos tämä määrä näyttää luvun 0, et näe mitään tietoja, jotka menevät tapahtumatoimintoihin.
Kun olet varmistanut, että vietävia tietoja on, voit tarkastella Tapahtumatoiminnot-sivua varmistaaksesi, että viestejä tulee. Tämä prosessi voi kestää enintään tunnin.
- Siirry Azuressa tapahtumatoimintoon> Napsauta NimitilaTapahtumakeskus>> Napsauta tapahtumatoimintoa.
- Vieritä Yleiskatsaus-kohdassa alas ja näytä Saapuvat viestit Viestit-kaaviossa. Jos et näe tuloksia, mukautetulle sovelluksellesi ei tule näytettäviä viestejä.
Aiheeseen liittyvät artikkelit
Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen – Microsoft Graph | Microsoft Learn
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.