Utilizar a API de transmissão em fluxo com Microsoft Defender para Empresas
Se a sua organização tiver um Centro de Operações de Segurança (SOC), a capacidade de utilizar a API de transmissão em fluxo Microsoft Defender para Ponto de Extremidade está disponível para Defender para Empresas e Microsoft 365 Business Premium. A API permite-lhe transmitir dados em fluxo, como ficheiro de dispositivo, registo, rede, eventos de início de sessão e muito mais para um dos seguintes serviços:
- Microsoft Sentinel, uma solução dimensionável nativa da cloud que fornece informações de segurança e gestão de eventos (SIEM) e capacidades de orquestração, automatização e resposta de segurança (SOAR).
- Hubs de Eventos do Azure, uma plataforma moderna de transmissão em fluxo de macrodados e um serviço de ingestão de eventos que pode ser totalmente integrado noutros serviços do Azure e da Microsoft, como o Stream Analytics, o Power BI e o Event Grid, juntamente com serviços externos como o Apache Spark.
- Armazenamento do Microsoft Azure, a solução de armazenamento na cloud da Microsoft para cenários de armazenamento de dados modernos, com armazenamento altamente disponível, extremamente dimensionável, durável e seguro para uma variedade de objetos de dados na cloud.
Com a API de transmissão em fluxo, pode utilizar a deteção avançada de ataques e investigação com Defender para Empresas e Microsoft 365 Business Premium. A API de transmissão em fluxo permite aos SOCs ver mais dados sobre dispositivos, compreender melhor como ocorreu um ataque e tomar medidas para melhorar a segurança do dispositivo.
Utilizar a API de transmissão em fluxo com Microsoft Sentinel
Observação
Microsoft Sentinel é um serviço pago. Estão disponíveis vários planos e opções de preços. Veja Microsoft Sentinel preços.
Certifique-se de que Defender para Empresas está configurado e configurado e que os dispositivos já estão integrados. Veja Configurar Microsoft Defender para Empresas.
Crie uma área de trabalho do Log Analytics que irá utilizar com Sentinel. Veja Criar uma área de trabalho do Log Analytics.
Integrar no Microsoft Sentinel. Veja Início Rápido: Integrar Microsoft Sentinel.
Ative o conector Microsoft Defender XDR. Veja Ligar dados de Microsoft Defender XDR a Microsoft Sentinel.
Utilizar a API de transmissão em fluxo com os Hubs de Eventos
Observação
Hubs de Eventos do Azure requer uma subscrição do Azure. Antes de começar, certifique-se de que cria um hub de eventos no seu inquilino. Em seguida, inicie sessão no portal do Azure, aceda a Subscrições> OsFornecedores> de Recursos dasubscrição>Registe-se em Microsoft.insights.
Aceda ao portal Microsoft Defender e inicie sessão.
Selecione Adicionar definições de exportação de dados.
Escolha um nome para as suas novas definições.
Selecione Reencaminhar eventos para Hubs de Eventos do Azure.
Escreva o nome dos Hubs de Eventos e o ID dos Hubs de Eventos.
Observação
Deixar o campo de nome dos Hubs de Eventos vazio cria um hub de eventos para cada categoria no espaço de nomes selecionado. Se não estiver a utilizar um Cluster de Hubs de Eventos Dedicado, tenha em atenção que existe um limite de 10 espaços de nomes dos Hubs de Eventos.
Para obter o ID dos Hubs de Eventos, aceda à página do espaço de nomes Hubs de Eventos do Azure no portal do Azure. No separador Propriedades , copie o texto em ID.
Selecione os eventos que pretende transmitir em fluxo e, em seguida, selecione Guardar.
O esquema de eventos no Hubs de Eventos do Azure
Eis o aspeto do esquema dos eventos no Hubs de Eventos do Azure:
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Cada mensagem do hub de eventos no Hubs de Eventos do Azure contém uma lista de registos. Cada registo contém o nome do evento, a hora em que Defender para Empresas recebido o evento, o inquilino ao qual pertence (obtém eventos apenas do seu inquilino) e o evento no formato JSON numa propriedade chamada "propriedades". Para obter mais informações sobre o esquema, veja Proativamente investigar ameaças com investigação avançada no Microsoft Defender XDR.
Utilizar a API de transmissão em fluxo com o Armazenamento do Azure
O Armazenamento do Azure requer uma subscrição do Azure. Antes de começar, certifique-se de que cria uma conta de Armazenamento no seu inquilino. Em seguida, inicie sessão no inquilino do Azure e aceda a Subscrições> OsFornecedores> de Recursos dasubscrição>Registe-se em Microsoft.insights.
Ativar a transmissão em fluxo de dados não processados
Aceda ao portal Microsoft Defender e inicie sessão.
Aceda à página Definições de exportação de dados no Microsoft Defender XDR.
Selecione Adicionar definições de exportação de dados.
Escolha um nome para as suas novas definições.
Selecione Reencaminhar eventos para o Armazenamento do Azure.
Escreva o ID de Recurso da Conta de Armazenamento. Para obter o ID de Recurso da Conta de Armazenamento, aceda à página Conta de armazenamento no portal do Azure. Em seguida, no separador Propriedades , copie o texto em ID do recurso da conta de armazenamento.
Selecione os eventos que pretende transmitir em fluxo e, em seguida, selecione Guardar.
O esquema de eventos na conta de Armazenamento do Azure
É criado um contentor de blobs para cada tipo de evento. O esquema de cada linha num blob é o seguinte ficheiro JSON:
{
"time": "<The time WDATP received the event>"
"tenantId": "<Your tenant ID>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
Cada blob contém várias linhas. Cada linha contém o nome do evento, a hora em que Defender para Empresas recebido o evento, o inquilino ao qual pertence (obtém eventos apenas do seu inquilino) e o evento nas propriedades do formato JSON. Para obter mais informações sobre o esquema de eventos Microsoft Defender para Ponto de Extremidade, veja Proativamente investigar ameaças com investigação avançada em Microsoft Defender XDR.
Confira também
- API de Transmissão em Fluxo de Dados Não Processados no Defender para Endpoint