Del via

Brug streaming-API'en med Microsoft Defender til virksomheder

Hvis din organisation har et SOC (Security Operations Center), er muligheden for at bruge api'en til Microsoft Defender for Endpoint streaming tilgængelig for Defender til virksomheder og Microsoft 365 Business Premium. API'en giver dig mulighed for at streame data, f.eks. enhedsfil, registreringsdatabase, netværk, logonhændelser og mere til en af følgende tjenester:

  • Microsoft Sentinel: En skalerbar, cloudbaseret løsning, der leverer sikkerhedsoplysninger og hændelsesstyring (SIEM) og SOAR-funktioner (Security Orchestration, Automation og Response).
  • Azure Event Hubs: En moderne, big data-streamingplatform og hændelsesindtagelsestjeneste, der problemfrit kan integreres med andre Azure og Microsoft-tjenester. F.eks. Stream Analytics, Power BI og Event Grid sammen med eksterne tjenester som Apache Spark.
  • Azure Lager: Microsofts cloudlagerløsning til moderne datalagerscenarier med høj tilgængelig, massivt skalerbar, holdbar og sikker lagring til en række dataobjekter i cloudmiljøet.

Med streaming-API'en kan du bruge avanceret registrering af jagt og angreb med Defender til virksomheder og Microsoft 365 Business Premium. Streaming-API'en gør det muligt for centre for sikkerhedshandlinger at få vist flere data om enheder, få en bedre forståelse af, hvordan et angreb opstod, og tage skridt til at forbedre enhedens sikkerhed.

Brug streaming-API'en med Microsoft Sentinel

Bemærk!

Microsoft Sentinel er en betalt tjeneste. Der findes flere planer og prismuligheder. Se Microsoft Sentinel priser.

  1. Sørg for, at Defender til virksomheder er konfigureret og konfigureret, og at enhederne allerede er onboardet. Se Konfigurer Microsoft Defender til virksomheder.

  2. Opret et Log Analytics-arbejdsområde, der skal bruges sammen med Microsoft Sentinel. Se Opret et Log Analytics-arbejdsområde.

  3. Ombord til Microsoft Sentinel. Se Hurtig start: Onboard Microsoft Sentinel.

  4. Aktivér Microsoft Defender XDR-connectoren. Se Opret forbindelse mellem data fra Microsoft Defender XDR og Microsoft Sentinel.

Brug streaming-API'en med Event Hubs

Bemærk!

Azure Event Hubs kræver et Azure abonnement. Før du begynder, skal du sørge for at oprette en hændelseshub i din organisation. Log derefter på Azure Portal, gå til AbonnementerDine abonnementer>>Ressourceudbydere>Tilmeld dig Microsoft.insights.

  1. Gå til Microsoft Defender-portalen, og log på.

  2. Gå til siden Indstillinger for dataeksport.

  3. Vælg Tilføj indstillinger for dataeksport.

  4. Vælg et navn til de nye indstillinger.

  5. Vælg Videresend hændelser for at Azure Event Hubs.

  6. Skriv navnet på din Event Hubs og dit Event Hubs ID.

    Bemærk!

    Hvis du lader feltet Event Hubs-navnefeltet være tomt, oprettes der en hændelseshub for hver kategori i det valgte navneområde. Hvis du ikke bruger en Dedicated Event Hubs Cluster, skal du huske på, at der er en grænse på 10 Event Hubs-navneområder.

    Hvis du vil hente dit Event Hubs-id, skal du gå til siden med Azure Event Hubs-navneområdet i Azure Portal. Kopiér teksten under ID under fanen Egenskaber.

  7. Vælg de hændelser, du vil streame, og vælg derefter Gem.

Skemaet over hændelser i Azure Event Hubs

Sådan ser skemaet over hændelser i Azure Event Hubs ud:

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the organization that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

Hver hændelseshubmeddelelse i Azure Event Hubs indeholder en liste over poster. Hver post indeholder hændelsesnavnet, det tidspunkt, Defender til virksomheder modtog hændelsen, den organisation, den tilhører (du får kun hændelser fra din organisation) og hændelsen i JSON-format i en egenskab med navnet "egenskaber". Du kan finde flere oplysninger om skemaet under Proaktiv jagt efter trusler med avanceret jagt i Microsoft Defender XDR.

Brug streaming-API'en med Azure Storage

Azure Storage kræver et Azure abonnement. Før du begynder, skal du sørge for at oprette en lagerkonto i din organisation. Log derefter på din Azure organisation, og gå til Abonnementer>Dit abonnement>Ressourceudbydere>Tilmeld dig Microsoft.insights.

Aktivér rå datastreaming

  1. Gå til Microsoft Defender-portalen, og log på.

  2. Gå til siden Indstillinger for dataeksport i Microsoft Defender XDR.

  3. Vælg Tilføj indstillinger for dataeksport.

  4. Vælg et navn til de nye indstillinger.

  5. Vælg Videresend hændelser for at Azure Lager.

  6. Skriv ressource-id'et for din lagerkonto. Hvis du vil hente ressource-id'et for din lagerkonto, skal du gå til siden Lagerkonto i Azure Portal. Kopiér derefter teksten under Ressource-id for lagerkonto under fanen Egenskaber.

  7. Vælg de hændelser, du vil streame, og vælg derefter Gem.

Skemaet over hændelser på Azure Lagerkonto

Der oprettes en blobobjektbeholder for hver hændelsestype. Skemaet for hver række i en blob er følgende JSON-fil:

{
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

Hver blob indeholder flere rækker. Hver række indeholder hændelsesnavnet, det tidspunkt, Defender til virksomheder modtog hændelsen, den organisation, den tilhører (du får kun hændelser fra din organisation) og hændelsen i egenskaber for JSON-format. Du kan finde flere oplysninger om skemaet for Microsoft Defender for Endpoint begivenheder under Proaktiv jagt efter trusler med avanceret jagt i Microsoft Defender XDR.

Se også

  • Last updated on