共用方式為

搭配使用串流 API 與 適用於企業的 Microsoft Defender

  • 發行項

如果您的組織具有資訊安全作業中心 (SOC) ,則可以使用 適用於端點的 Microsoft Defender 串流 API來 適用於企業的 DefenderMicrosoft 365 商務進階版。 API 可讓您將裝置檔案、登錄、網路、登入事件等數據串流至下列其中一項服務:

  • Microsoft Sentinel 是可調整的雲端原生解決方案,可 (SIEM) 和安全性協調流程、自動化及回應 (SOAR) 功能提供安全性資訊和事件管理。
  • Azure 事件中樞 是現代化的巨量數據串流平臺和事件擷取服務,可與其他 Azure 和Microsoft服務緊密整合,例如 Stream 分析、Power BI 和事件方格,以及 Apache Spark 等外部服務。
  • Azure 記憶體,Microsoft適用於新式數據記憶體案例的雲端記憶體解決方案,具有高可用性、可大幅調整、耐久且安全的雲端記憶體,適用於雲端中各種數據物件。

透過串流 API,您可以使用進階搜捕攻擊偵測搭配 適用於企業的 Defender 和 Microsoft 365 商務進階版。 串流 API 可讓 SOC 檢視更多裝置相關資料、進一步瞭解攻擊的發生方式,並採取步驟來改善裝置安全性。

搭配使用串流 API 與 Microsoft Sentinel

注意事項

Microsoft Sentinel 是付費服務。 有數個方案和定價選項可供使用。 請參閱 Microsoft Sentinel 定價

  1. 請確定已設定 適用於企業的 Defender,且裝置已上線。 請參閱 安裝並設定適用於企業的 Microsoft Defender

  2. 建立您將與 Sentinel 搭配使用的Log Analytics工作區。 請參閱 建立Log Analytics工作區

  3. 上線以 Microsoft Sentinel。 請參閱快速入門:上線 Microsoft Sentinel

  4. 啟用 Microsoft Defender 全面偵測回應 連接器。 請參閱將數據從 Microsoft Defender 全面偵測回應 連線到 Microsoft Sentinel

使用串流 API 搭配事件中樞

注意事項

Azure 事件中樞 需要 Azure 訂用帳戶。 開始之前,請務必在租使用者中建立 事件中樞 。 然後,登入 Azure 入口網站移至>訂用帳戶您的訂>用帳戶資源提供者>註冊至 Microsoft.insights

  1. 移至 Microsoft Defender 入口網站並登入。

  2. 移至 [資料匯出設定] 頁面

  3. 取 [新增數據匯出設定]

  4. 選擇新設定的名稱。

  5. 選擇 [將事件轉送至 Azure 事件中樞] 。

  6. 輸入您的 事件中樞名稱 和事件中 樞標識碼

    注意事項

    將 [事件中樞名稱] 字段保留空白,會為所選命名空間中的每個類別建立事件中樞。 如果您不是使用專用事件中樞叢集,請記住,有10個事件中樞命名空間的限制。

    若要取得事件中樞標識碼,請移至 Azure 入口網站 中的 Azure 事件中樞 命名空間頁面。 在 [ 屬性] 索引 標籤上,複製 [ 標識符] 底下的文字。

  7. 選擇您想要串流的事件,然後選取 [ 儲存]

Azure 事件中樞 中事件的架構

以下是 Azure 事件中樞 中事件的架構外觀:

{
    "records": [
                    {
                        "time": "<The time WDATP received the event>"
                        "tenantId": "<The Id of the tenant that the event belongs to>"
                        "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                        "properties": { <WDATP Advanced Hunting event as Json> }
                    }
                    ...
                ]
}

Azure 事件中樞 中的每個事件中樞訊息都包含記錄清單。 每筆記錄都包含事件名稱、收到事件 適用於企業的 Defender 時間、它所屬的租使用者 (您只從租使用者取得事件) ,以及 JSON 格式的事件,其屬性稱為 “properties”。 如需架構的詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中使用進階搜捕主動搜捕威脅

搭配 Azure 記憶體使用串流 API

Azure 記憶體需要 Azure 訂用帳戶。 開始之前,請務必在租使用者中建立 記憶體帳戶 。 然後,登入您的 Azure 租使用者,然後移至>訂用帳戶您的訂>用帳戶資源提供者>註冊至 Microsoft.insights

啟用原始數據串流

  1. 移至 Microsoft Defender 入口網站並登入。

  2. 移至 Microsoft Defender 全面偵測回應 中的數據匯出設定頁面

  3. 取 [新增數據匯出設定]

  4. 選擇新設定的名稱。

  5. 選擇 [將事件轉送至 Azure 記憶體]

  6. 輸入您的 記憶體帳戶資源識別碼。 若要取得記憶體帳戶資源標識碼,請移至 Azure 入口網站 中的記憶體帳戶頁面。 然後,在 [ 屬性] 索引 標籤上,複製 [儲存體帳戶資源標識符] 底下的文字。

  7. 選擇您想要串流的事件,然後選取 [ 儲存]

Azure 記憶體帳戶中事件的架構

系統會針對每個事件類型建立 Blob 容器。 Blob 中每個數據列的架構是下列 JSON 檔案:

{
  "time": "<The time WDATP received the event>"
  "tenantId": "<Your tenant ID>"
  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
  "properties": { <WDATP Advanced Hunting event as Json> }
}

每個 Blob 都包含多個數據列。 每個數據列都包含事件名稱、收到事件 適用於企業的 Defender 時間、它所屬的租使用者 (您只從租使用者取得事件) ,以及 JSON 格式屬性中的事件。 如需 適用於端點的 Microsoft Defender 事件架構的詳細資訊,請參閱在 Microsoft Defender 全面偵測回應 中使用進階搜捕主動搜捕威脅

另請參閱