Configurer Microsoft Defender XDR pour diffuser en continu des événements de chasse avancée vers votre hub d’événements Azure
S’applique à :
Remarque
Essayez nos nouvelles API à l’aide de l’API de sécurité MS Graph. Pour plus d’informations, consultez : Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn.
Importante
Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Configuration requise
Avant de configurer Microsoft Defender XDR pour diffuser des données vers Event Hubs, vérifiez que les conditions préalables suivantes sont remplies :
Créez un Event Hubs (pour plus d’informations, consultez Configurer Event Hubs).
Création d’un espace de noms Event Hubs (pour plus d’informations, consultez Configurer l’espace de noms Event Hubs).
Ajoutez des autorisations à l’entité disposant des privilèges d’un contributeur afin que cette entité puisse exporter des données vers Event Hubs. Pour plus d’informations sur l’ajout d’autorisations, consultez Ajouter des autorisations.
Remarque
L’API de streaming peut être intégrée via Event Hubs ou un compte de stockage Azure.
Activer la diffusion en continu de données brutes
- Connectez-vous au moins à Microsoft Defender portail en tant qu’administrateur de la sécurité.
Importante
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Accédez à la page paramètres de l’API de streaming.
Cliquez sur Ajouter.
Choisissez un nom pour vos nouveaux paramètres.
Choisissez Transférer des événements vers Azure Event Hub.
Vous pouvez sélectionner si vous souhaitez exporter les données d’événement vers un hub d’événements unique ou exporter chaque table d’événements vers un autre Event Hubs dans votre espace de noms Event Hubs.
Pour exporter les données d’événement vers un hub d’événements unique, entrez le nom de votre hub d’événements et l’ID de ressource de votre espace de noms Event Hub.
Pour obtenir l’ID de ressource de votre espace de noms Event Hub, accédez à votre page d’espace de noms Azure Event Hubs sous l’onglet >PropriétésAzure>, copiez le texte sous ID de ressource :
Accédez à l’API Types d’événements Microsoft Defender XDR pris en charge dans le streaming d’événements pour passer en revue les status de prise en charge des types d’événements dans l’API de streaming Microsoft 365.
Choisissez les événements que vous souhaitez diffuser en continu, puis cliquez sur Enregistrer.
Schéma des événements dans Azure Event Hub
{
"records": [
{
"time": "<The time Microsoft Defender XDR received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
}
...
]
}
Chaque message Event Hubs dans Azure Event Hubs contient une liste d’enregistrements.
Chaque enregistrement contient le nom de l’événement, l’heure à laquelle Microsoft Defender XDR reçu l’événement, le locataire auquel il appartient (vous obtiendrez uniquement les événements de votre locataire) et l’événement au format JSON dans une propriété appelée « properties ».
Pour plus d’informations sur le schéma des événements Microsoft Defender XDR, consultez Vue d’ensemble de la chasse avancée.
Dans Repérage avancé, la table DeviceInfo comporte une colonne nommée MachineGroup qui contient le groupe de l’appareil. Ici, chaque événement sera également décoré avec cette colonne.
Mappage des types de données
Pour obtenir les types de données pour les propriétés d’événement, procédez comme suit :
Connectez-vous à Microsoft Defender XDR et accédez à la page Repérage avancé.
Exécutez la requête suivante pour obtenir le mappage des types de données pour chaque événement :
{EventType} | getschema | project ColumnName, ColumnType
Estimation de la capacité initiale d’Event Hub
La requête de repérage avancée suivante peut vous aider à fournir une estimation approximative du débit du volume de données et de la capacité initiale du hub d’événements en fonction des événements/s et de l’estimation des Mo/s. Nous vous recommandons d’exécuter la requête pendant les heures normales de travail afin de capturer le débit « réel ».
let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec
Pour case activée les différentes limites d’Event Hub, passez en revue Azure Event Hubs quota et limites.
Surveillance des ressources créées
Vous pouvez surveiller les ressources créées par l’API de streaming à l’aide d’Azure Monitor. Pour plus d’informations, consultez Exportation de données d’espace de travail Log Analytics dans Azure Monitor.
Voir aussi
Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn
Types d’événements Microsoft Defender XDR pris en charge dans l’API de streaming d’événements
Stream Microsoft Defender XDR des événements à votre compte de stockage Azure
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.