Event Hubs を構成する

イベント ハブを構成して、Microsoft Defender XDRからイベントを取り込む方法について説明します。

Event Hubs サブスクリプションで必要なリソース プロバイダーを設定する

1. Azure portal にサインインし
2. [ サブスクリプション>{ イベント ハブが }>Resource プロバイダーにデプロイされるサブスクリプションを選択します。
3. Microsoft.Insights プロバイダーが登録されているかどうかを確認します。 それ以外の場合は、登録します。

アプリの登録Microsoft Entra設定する

1. Microsoft Entra ID>アプリの登録>新しい登録で新しい登録 (本質的にサービス プリンシパルを作成します) を作成します。

2. [名前] だけでフォームに入力します (リダイレクト URI は必要ありません)。

   

   

3. [証明書] & シークレット>[新しいクライアント シークレット] をクリックしてシークレットを作成します。

   

このクライアント シークレット値は、登録されているこのアプリケーションを認証するために Microsoft Graph API によって使用されます。

Event Hubs 名前空間を設定する

1. Event Hubs 名前空間を作成します。

   Event Hub > [追加] に移動し、予想される負荷に適した価格レベル、スループット ユニット、自動インフレ (標準価格と機能が必要) を選択します。 詳細については、「価格 - Event Hubs |Microsoft Azure。

   注:

   既存のイベント ハブを使用できますが、スループットとスケーリングは名前空間レベルで設定されます。 Microsoft では、独自の名前空間にイベント ハブを配置することをお勧めします。

   

2. この Event Hubs 名前空間のリソース ID が必要です。 [プロパティ] を>Azure Event Hubs名前空間ページに移動します。 [リソース ID] のテキストをコピーし、Microsoft 365 構成中に使用するために記録します。

   

アクセス許可を追加する

Event Hubs データ管理に関連するエンティティに、次のロールへのアクセス許可を追加する必要があります。

• 共同作成者: このロールに関連するアクセス許可は、Microsoft Defender ポータルにログインするエンティティに追加されます。
• 閲覧者とAzure Event Hub データ レシーバー: これらのロールに関連するアクセス許可は、サービス プリンシパルのロールが既に割り当てられているエンティティに割り当てられ、Microsoft Entra アプリケーションにログインします。

これらのロールが確実に追加されるようにするには、次の手順を実行します。

[Event Hub Namespace>Access Control (IAM)>[ロールの割り当て] で追加して確認します。

Event Hubs を設定する

オプション 1:

名前空間内に Event Hubs を作成でき、エクスポートするために選択 したすべての イベントの種類 (テーブル) がこの 1 つの Event Hub に書き込まれます。

オプション 2:

すべてのイベントの種類 (テーブル) を 1 つのイベント ハブにエクスポートする代わりに、各テーブルを Event Hubs 名前空間内の異なる Event Hubs (イベントの種類ごとに 1 つのイベント ハブ) にエクスポートできます。

このオプションでは、Microsoft Defender XDRによって Event Hubs が自動的に作成されます。

例:

このオプションを選択した場合は、「Microsoft Defender XDRを構成して電子メール テーブルを送信する」セクションに進むことができます。

[Event Hub>+ Event Hub] を選択して、名前空間内に Event Hubs を作成します。

パーティション数を使用すると、並列処理によってスループットが向上するため、予想される負荷に基づいてこの数を増やすことをお勧めします。 既定のメッセージ保持期間とキャプチャの値は 1 とオフにすることをお勧めします。

これらの Event Hubs (名前空間ではなく) では、送信、リッスン要求を使用して共有アクセス ポリシーを構成する必要があります。 Event Hub>Shared アクセス ポリシー>+ [追加] をクリックし、ポリシー名 (他の場所では使用されません) を指定し、[送信とリッスン] をチェックします。

電子メール テーブルを送信するようにMicrosoft Defender XDRを構成する

Event Hubs を使用Microsoft Defender XDR Splunk にEmailテーブルを送信するように設定する

1. 次のすべてのロール要件を満たすアカウントでMicrosoft Defender XDRにサインインします。

   • エクスポートする Event Hubs の Event Hubs 名前空間 リソース レベル以上の共同作成者ロール。 このアクセス許可なしで設定を保存しようとすると、エクスポート エラーが発生します。

   • Microsoft Defender XDRとAzureに関連付けられているテナントのセキュリティ 管理ロール。

     

2. [ 生データ エクスポート] > [+追加] をクリックします。

   以前に記録したデータを使用します。

   名前: この値はローカルであり、環境内で動作するものでなければなりません。

   イベントをイベント ハブに転送する: このチェック ボックスをオンにします。

   Event-Hub リソース ID: この値は、Event Hubs を設定したときに記録した Event Hubs 名前空間リソース ID です。

   Event-Hub 名: Event Hubs 名前空間内に Event Hubs を作成した場合は、以前に記録した Event Hubs 名を貼り付けます。

   Microsoft Defender XDRでイベントの種類 (テーブル) ごとに Event Hubs を作成できるようにする場合は、このフィールドを空のままにします。

   イベントの種類: Event Hubs に転送してからカスタム アプリに転送する高度なハンティング テーブルを選択します。 アラート テーブルはMicrosoft Defender XDRから、デバイス テーブルは Microsoft Defender for Endpoint (EDR) から、Email テーブルはOffice 365のMicrosoft Defenderから取得されます。 Email イベントは、すべてのEmailトランザクションを記録します。 URL (安全なリンク)、添付ファイル (安全な添付ファイル)、および配信後イベント (ZAP) も記録され、[NetworkMessageId] フィールドの [Email イベント] に参加できます。

   

3. [ 送信] をクリックしてください。

イベントが Event Hubs にエクスポートされていることを確認する

基本的な高度なハンティング クエリを実行することで、イベントが Event Hubs に送信されていることを確認できます。 [ ハンティング>Advanced Hunting>Query を選択し、次のクエリを入力します。

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

このクエリでは、他のすべてのテーブルで結合された過去 1 時間に受信したメールの数が表示されます。 また、イベント ハブにエクスポートできるイベントが表示される場合も表示されます。 この数に 0 が表示される場合、Event Hubs に送信されるデータは表示されません。

エクスポートするデータがあることを確認したら、[Event Hubs] ページを表示して、メッセージが受信されていることを確認できます。 このプロセスには最大 1 時間かかることがあります。

1. Azureで、Event Hub に移動し>名前空間>Event Hub をクリック>イベント ハブをクリックします。
2. [ 概要] で下にスクロールし、[メッセージ] グラフに [受信メッセージ] が表示されます。 結果が表示されない場合は、カスタム アプリが取り込むメッセージはありません。

関連トピック

Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn