Использование API потоковой передачи с Microsoft Defender для бизнеса
Если в вашей организации есть центр управления безопасностью (SOC), возможность использования API потоковой передачи Microsoft Defender для конечной точки доступна для Defender для бизнеса и Microsoft 365 бизнес премиум. API позволяет выполнять потоковую передачу данных, таких как файл устройства, реестр, сеть, события входа и многое другое, в одну из следующих служб:
- Microsoft Sentinel , масштабируемое облачное решение, которое предоставляет возможности управления информационной безопасностью и событиями безопасности (SIEM) и оркестрации безопасности, автоматизации и реагирования (SOAR).
- Центры событий Azure , современная платформа потоковой передачи больших данных и служба приема событий, которая может легко интегрироваться с другими службами Azure и Майкрософт, такими как Stream Analytics, Power BI и Служба сетки событий, а также с внешними службами, такими как Apache Spark.
- Служба хранилища Azure — облачное решение Майкрософт для современных сценариев хранения данных с высокодоступным, масштабируемым, устойчивым и безопасным хранилищем для различных объектов данных в облаке.
С помощью API потоковой передачи можно использовать расширенную охоту и обнаружение атак с помощью Defender для бизнеса и Microsoft 365 бизнес премиум. API потоковой передачи позволяет SOC просматривать больше данных об устройствах, лучше понимать, как произошла атака, и принимать меры по повышению безопасности устройств.
Использование API потоковой передачи с Microsoft Sentinel
Примечание.
Microsoft Sentinel является платной услугой. Доступно несколько планов и вариантов ценообразования. См. Microsoft Sentinel цены.
Убедитесь, что Defender для бизнеса настроена и что устройства уже подключены. См. раздел Настройка и настройка Microsoft Defender для бизнеса.
Создайте рабочую область Log Analytics, которая будет использоваться с Sentinel. См . статью Создание рабочей области Log Analytics.
Подключение к Microsoft Sentinel. См. краткое руководство. Подключение Microsoft Sentinel.
Включите соединитель Microsoft Defender XDR. См. раздел Подключение данных из Microsoft Defender XDR к Microsoft Sentinel.
Использование API потоковой передачи с Центрами событий
Примечание.
Центры событий Azure требуется подписка Azure. Перед началом работы обязательно создайте концентратор событий в клиенте. Затем войдите в портал Azure, перейдите в раздел Подписки Ваши поставщики>>ресурсовподписки>зарегистрируйте в Microsoft.insights.
Перейдите на портал Microsoft Defender и выполните вход.
Перейдите на страницу Параметры экспорта данных.
Выберите Добавить параметры экспорта данных.
Выберите имя для новых параметров.
Выберите Переадресация событий, чтобы Центры событий Azure.
Введите имя Центров событий и идентификатор Центров событий.
Примечание.
Если оставить поле Имя Центров событий пустым, создается концентратор событий для каждой категории в выбранном пространстве имен. Если вы не используете выделенный кластер Центров событий, помните, что существует ограничение в 10 пространств имен Центров событий.
Чтобы получить идентификатор Центров событий, перейдите на страницу пространства имен Центры событий Azure в портал Azure. На вкладке Свойства скопируйте текст в разделе Идентификатор.
Выберите события для потоковой передачи, а затем нажмите кнопку Сохранить.
Схема событий в Центры событий Azure
Вот как выглядит схема событий в Центры событий Azure:
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Каждое сообщение концентратора событий в Центры событий Azure содержит список записей. Каждая запись содержит имя события, время, Defender для бизнеса полученное событие, клиент, которому оно принадлежит (вы получаете события только из клиента), а также событие в формате JSON в свойстве с именем properties. Дополнительные сведения о схеме см. в статье Упреждающая охота на угрозы с помощью расширенной охоты в Microsoft Defender XDR.
Использование API потоковой передачи со службой хранилища Azure
Для службы хранилища Azure требуется подписка Azure. Перед началом работы обязательно создайте учетную запись хранения в клиенте. Затем войдите в клиент Azure и перейдите в раздел Подписки. Поставщики>>ресурсовподписки >зарегистрируйте в Microsoft.insights.
Включение потоковой передачи необработанных данных
Перейдите на портал Microsoft Defender и выполните вход.
Перейдите на страницу Параметры экспорта данных в Microsoft Defender XDR.
Выберите Добавить параметры экспорта данных.
Выберите имя для новых параметров.
Выберите Переадресация событий в службу хранилища Azure.
Введите идентификатор ресурса учетной записи хранения. Чтобы получить идентификатор ресурса учетной записи хранения, перейдите на страницу учетной записи хранения в портал Azure. Затем на вкладке Свойства скопируйте текст в разделе Идентификатор ресурса учетной записи хранения.
Выберите события для потоковой передачи, а затем нажмите кнопку Сохранить.
Схема событий в учетной записи хранения Azure
Контейнер BLOB-объектов создается для каждого типа события. Схема каждой строки в большом двоичном объекте представляет собой следующий JSON-файл:
{
"time": "<The time WDATP received the event>"
"tenantId": "<Your tenant ID>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
Каждый большой двоичный объект содержит несколько строк. Каждая строка содержит имя события, время, Defender для бизнеса получено событие, клиент, которому оно принадлежит (события получаются только из клиента), а также событие в свойствах формата JSON. Дополнительные сведения о схеме событий Microsoft Defender для конечной точки см. в статье Упреждающая охота на угрозы с помощью расширенной охоты в Microsoft Defender XDR.
См. также
- API потоковой передачи необработанных данных в Defender для конечной точки