将流式处理 API 与Microsoft Defender 商业版

如果你的组织有一个安全运营中心 (SOC) ，则使用Microsoft Defender for Endpoint流式处理 API 的功能可用于Defender 商业版和Microsoft 365 商业高级版。 使用 API 可将设备文件、注册表、网络、登录事件等数据流式传输到以下服务之一：

• Microsoft Sentinel是一种可缩放的云原生解决方案， (SIEM) 和安全业务流程、自动化和响应 (SOAR) 功能提供安全信息和事件管理。
• Azure 事件中心，一种新式大数据流式处理平台和事件引入服务，可以与其他 Azure 和Microsoft服务（如 Stream Analytics、Power BI 和事件网格）以及 Apache Spark 等外部服务无缝集成。
• Azure 存储是Microsoft用于新式数据存储方案的云存储解决方案，为云中的各种数据对象提供高度可用、可大规模缩放、持久且安全的存储。

使用流式处理 API，可以通过Defender 商业版和Microsoft 365 商业高级版使用高级搜寻和攻击检测。 流式处理 API 使 SOC 能够查看有关设备的更多数据，更好地了解攻击的发生方式，并采取措施提高设备安全性。

将流式处理 API 与 Microsoft Sentinel

注意

Microsoft Sentinel是付费服务。 有多个计划和定价选项可用。 请参阅Microsoft Sentinel定价。

1. 确保已设置和配置Defender 商业版，并且设备已载入。 请参阅设置和配置Microsoft Defender 商业版。

2. 创建用于 Sentinel 的 Log Analytics 工作区。 请参阅 创建 Log Analytics 工作区。

3. 载入到Microsoft Sentinel。 请参阅快速入门：载入Microsoft Sentinel。

4. 启用Microsoft Defender XDR连接器。 请参阅将数据从Microsoft Defender XDR连接到Microsoft Sentinel。

将流式处理 API 与事件中心配合使用

注意

Azure 事件中心需要 Azure 订阅。 在开始之前，请确保在租户中创建 事件中心 。 然后，登录到Azure 门户，转到订阅资源提供程序>注册到 Microsoft.insights 的订阅>>。

1. 转到Microsoft Defender门户并登录。

2. 转到 “数据导出设置”页。

3. 选择 “添加数据导出设置”。

4. 为新设置选择名称。

5. 选择“将事件转发到Azure 事件中心”。

6. 键入事件中心名称和事件中心 ID。

   注意

   将“事件中心名称”字段留空会为所选命名空间中的每个类别创建一个事件中心。 如果不使用专用事件中心群集，请记住，有 10 个事件中心命名空间的限制。

   若要获取事件中心 ID，请转到Azure 门户中的“Azure 事件中心命名空间”页。 在“ 属性 ”选项卡上，复制 “ID”下的文本。

7. 选择要流式传输的事件，然后选择“ 保存”。

Azure 事件中心中的事件的架构

下面是Azure 事件中心中事件的架构：

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

Azure 事件中心中的每个事件中心消息都包含记录列表。 每条记录都包含事件名称、Defender 商业版接收事件的时间、它所属的租户 (仅) 从租户获取事件，以及名为“properties”的属性的 JSON 格式的事件。 有关架构的详细信息，请参阅使用Microsoft Defender XDR中的高级搜寻主动搜寻威胁。

将流式处理 API 与 Azure 存储配合使用

Azure 存储需要 Azure 订阅。 在开始之前，请确保在租户中创建 存储帐户 。 然后，登录到 Azure 租户，并转到订阅资源提供程序>注册到 Microsoft.insights 的订阅>>。

启用原始数据流式处理

1. 转到Microsoft Defender门户并登录。

2. 转到 Microsoft Defender XDR 中的数据导出设置页。

3. 选择 “添加数据导出设置”。

4. 为新设置选择名称。

5. 选择“ 将事件转发到 Azure 存储”。

6. 键入 存储帐户资源 ID。 若要获取存储帐户资源 ID，请转到Azure 门户中的存储帐户页。 然后，在“ 属性 ”选项卡上，复制 “存储帐户资源 ID”下的文本。

7. 选择要流式传输的事件，然后选择“ 保存”。

Azure 存储帐户中事件的架构

将为每个事件类型创建一个 Blob 容器。 Blob 中每一行的架构是以下 JSON 文件：

{
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

每个 Blob 包含多个行。 每行都包含事件名称、Defender 商业版接收事件的时间、它所属的租户 (仅从租户) 获取事件，以及 JSON 格式的事件属性。 有关Microsoft Defender for Endpoint事件架构的详细信息，请参阅使用Microsoft Defender XDR中的高级搜寻主动搜寻威胁。

另请参阅

• Defender for Endpoint 中的原始数据流式处理 API