Condividi tramite

Configurare hub eventi

  • Articolo

Si applica a:

Nota

Provare le nuove API usando l'API di sicurezza di MS Graph. Per altre informazioni, vedere: Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn.

Informazioni su come configurare hub eventi in modo che possa inserire eventi da Microsoft Defender XDR.

Configurare il provider di risorse necessario nella sottoscrizione di Hub eventi

  1. Accedere al portale di Azure.
  2. Selezionare Sottoscrizioni>{ Selezionare la sottoscrizione in cui verranno distribuiti gli hub eventi in }>Provider di risorse.
  3. Verificare se il provider Microsoft.Insights è registrato. In caso contrario, registrarlo.

Pagina elenco dei provider di servizi nel portale di Microsoft Azure

Configurare la registrazione dell'app Microsoft Entra

Nota

È necessario avere il ruolo di amministratore o l'ID Microsoft Entra deve essere impostato per consentire agli utenti non amministratori di registrare le app. Per assegnare un ruolo all'entità servizio, è anche necessario disporre di un ruolo Proprietario o Amministratore accesso utente. Per altre informazioni, vedere Creare un'app Microsoft Entra & entità servizio nel portale - Microsoft Identity Platform | Microsoft Docs.

  1. Creare una nuova registrazione (che crea intrinsecamente un'entità servizio) nelle registrazioni >dell'appMicrosoft Entra ID>Nuova registrazione.

  2. Compilare il modulo con solo il nome (non è necessario alcun URI di reindirizzamento).

    Sezione relativa alla visualizzazione del nome dell'applicazione nel portale di Microsoft Azure

    Sezione Informazioni di panoramica nel portale di Microsoft Azure

  3. Creare un segreto facendo clic su Certificati & segreti>Nuovo segreto client:

    Sezione Segreto client nel portale di Microsoft Azure

Questo valore del segreto client viene usato dalle API di Microsoft Graph per autenticare l'applicazione registrata.

Avviso

Non sarà più possibile accedere al segreto client, quindi assicurarsi di salvarlo.

Configurare lo spazio dei nomi di Hub eventi

  1. Creare uno spazio dei nomi di Hub eventi:

    Passare a Aggiungi hub > eventi e selezionare il piano tariffario, le unità elaborate e l'aumento automatico (richiede prezzi standard e funzionalità) appropriati per il carico previsto. Per altre informazioni, vedere Prezzi - Hub eventi | Microsoft Azure.

    Nota

    È possibile usare un hub eventi esistente, ma la velocità effettiva e il ridimensionamento sono impostati a livello di spazio dei nomi, quindi è consigliabile inserire un hub eventi nel proprio spazio dei nomi.

    Sezione hub eventi nel portale di Microsoft Azure

  2. Sarà necessario anche l'ID risorsa di questo spazio dei nomi di Hub eventi. Passare alla pagina > dello spazio dei nomi di Hub eventi di Azure Proprietà. Copiare il testo in ID risorsa e registrarlo per l'uso durante la sezione Configurazione di Microsoft 365 riportata di seguito.

    Sezione delle proprietà dell'hub eventi nel portale di Microsoft Azure

Aggiungere autorizzazioni

È necessario aggiungere le autorizzazioni ai ruoli seguenti alle entità coinvolte nella gestione dei dati di Hub eventi:

  • Collaboratore: le autorizzazioni correlate a questo ruolo vengono aggiunte all'entità che accede al portale di Microsoft Defender.
  • Lettore e ricevitore di dati dell'hub eventi di Azure: le autorizzazioni correlate a questi ruoli vengono assegnate all'entità a cui è già stato assegnato il ruolo di un'entità servizio e accedono all'applicazione Microsoft Entra.

Per assicurarsi che questi ruoli siano stati aggiunti, eseguire il passaggio seguente:

Passare a Controllo di accesso allo spazio dei nomi>dell'hub eventi (IAM)>Aggiungere e verificare in Assegnazioni di ruolo.

Sezione dell'entità servizio di registrazione dell'applicazione nel portale di Microsoft Azure

Configurare Hub eventi

Opzione 1:

È possibile creare un hub eventi all'interno dello spazio dei nomi e tutti i tipi di evento (tabelle) selezionati per l'esportazione verranno scritti in questo hub eventi.

Opzione 2:

Invece di esportare tutti i tipi di evento (tabelle) in un hub eventi, è possibile esportare ogni tabella in hub eventi diversi all'interno dello spazio dei nomi di Hub eventi (un hub eventi per tipo di evento).

In questa opzione, Microsoft Defender XDR creerà automaticamente Hub eventi.

Nota

Se si usa uno spazio dei nomi dell'hub eventi che non fa parte di un cluster dell'hub eventi, sarà possibile scegliere fino a 10 tipi di evento (tabelle) da esportare in ogni impostazione di esportazione definita, a causa di una limitazione di Azure di 10 hub eventi per spazio dei nomi dell'hub eventi.

Ad esempio:

Sezione hub eventi nel portale di Microsoft Azure

Se si sceglie questa opzione, è possibile passare alla sezione Configurare Microsoft Defender XDR per inviare tabelle di posta elettronica .

Creare hub eventi all'interno dello spazio dei nomi selezionando Hub>eventi+ Hub eventi.

Il conteggio delle partizioni consente una maggiore velocità effettiva tramite parallelismo, quindi è consigliabile aumentare questo numero in base al carico previsto. Sono consigliati valori predefiniti di conservazione e acquisizione dei messaggi pari a 1 e disattivati.

Sezione relativa alla creazione di hub eventi nel portale di Microsoft Azure

Per questi hub eventi (non spazio dei nomi), è necessario configurare un criterio di accesso condiviso con attestazioni di invio e ascolto. Fare clic su Criteri diaccesso> condiviso dell'hub> eventi+ Aggiungi, quindi assegnare un nome di criterio (non usato altrove) e selezionare Invia e ascolta.

Pagina Criteri di accesso condiviso nel portale di Microsoft Azure

Configurare Microsoft Defender XDR per l'invio di tabelle di posta elettronica

Configurare le tabelle di invio di posta elettronica di Microsoft Defender XDR a Splunk tramite Hub eventi

  1. Accedere a Microsoft Defender XDR con un account che soddisfi tutti i requisiti di ruolo seguenti:

    • Ruolo collaboratore a livello di risorsa spazio dei nomi di Hub eventi o superiore per gli hub eventi in cui si eseguirà l'esportazione. Senza questa autorizzazione, si otterrà un errore di esportazione quando si tenta di salvare le impostazioni.

    • Ruolo di amministratore della sicurezza nel tenant associato a Microsoft Defender XDR e Azure.

      Pagina Impostazioni del portale di Microsoft Defender

  2. Fare clic su Esporta > dati non elaborati +Aggiungi.

    Si useranno ora i dati registrati in precedenza.

    Nome: questo valore è locale e deve essere quello che funziona nell'ambiente.

    Inoltrare gli eventi all'hub eventi: selezionare questa casella di controllo.

    ID risorsa hub eventi: questo valore è l'ID risorsa spazio dei nomi di Hub eventi registrato durante la configurazione di Hub eventi.

    Nome hub eventi: se è stato creato un hub eventi all'interno dello spazio dei nomi di Hub eventi, incollare il nome di Hub eventi registrato in precedenza.

    Se si sceglie di consentire a Microsoft Defender XDR di creare automaticamente Hub eventi per ogni tipo di evento (tabelle), lasciare vuoto questo campo.

    Tipi di evento: selezionare le tabelle di ricerca avanzata da inoltrare all'hub eventi e quindi all'app personalizzata. Le tabelle degli avvisi provengono da Microsoft Defender XDR, le tabelle dispositivi provengono da Microsoft Defender per endpoint (EDR) e le tabelle di posta elettronica provengono da Microsoft Defender per Office 365. Eventi di posta elettronica registra tutte le transazioni di posta elettronica. Anche l'URL (collegamenti sicuri), l'allegato (allegati sicuri) e gli eventi di post recapito (ZAP) vengono registrati e possono essere aggiunti agli eventi di posta elettronica nel campo NetworkMessageId.

    Pagina Delle impostazioni dell'API di streaming nel portale di Microsoft Azure

  3. Assicurarsi di fare clic su Invia.

Verificare che gli eventi vengano esportati in Hub eventi

È possibile verificare che gli eventi vengano inviati all'hub eventi eseguendo una query di ricerca avanzata di base. Selezionare Ricerca>query di ricerca> avanzata e immettere la query seguente:

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

Questa query mostrerà il numero di messaggi di posta elettronica ricevuti nell'ultima ora aggiunti in tutte le altre tabelle. Verrà inoltre mostrato se vengono visualizzati eventi che potrebbero essere esportati negli hub eventi. Se questo conteggio mostra 0, non verranno visualizzati dati in uscita in Hub eventi.

Pagina ricerca avanzata nel portale di Microsoft Azure

Dopo aver verificato la disponibilità di dati da esportare, è possibile visualizzare la pagina Hub eventi per verificare che i messaggi siano in arrivo. Questo processo può richiedere fino a un'ora.

  1. In Azure passare a Hub> eventi Fare clic suHub> eventi spazio dei nomi> Fare clic su nell'hub eventi.
  2. In Panoramica scorrere verso il basso e nel grafico Messaggi dovrebbe essere visualizzato Messaggi in ingresso. Se non vengono visualizzati risultati, non verranno inseriti messaggi per l'app personalizzata.

Pagina Panoramica nel portale di Microsoft 365 Azure

Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.