Streamování upozornění do řešení SPRÁVY SLUŽEB SIEM, SOAR nebo IT Service Management

Microsoft Defender pro cloud může streamovat výstrahy zabezpečení do nejoblíbenějších řešení SIEM (Security Information and Event Management), Security Orchestraation Automated Response (SOAR) a IT Service Management (ITSM). Výstrahy zabezpečení jsou oznámení, která Defender for Cloud generuje, když detekuje hrozby pro vaše prostředky. Defender for Cloud prioritizuje a uvádí výstrahy spolu s informacemi potřebnými k rychlému prozkoumání problému. Defender for Cloud také poskytuje podrobné kroky, které vám pomůžou napravit útoky. Data výstrah se uchovávají po dobu 90 dnů.

K dispozici jsou integrované nástroje Azure pro zajištění toho, abyste si mohli zobrazit data výstrah ve všech nejoblíbenějších řešeních, která se dnes používají, včetně těchto:

  • Microsoft Sentinel
  • Splunk Enterprise a Splunk Cloud
  • QRadar společnosti IBM
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

Streamování upozornění do Služby Microsoft Sentinel

Defender for Cloud se nativně integruje se službou Microsoft Sentinel, cloudovým nativním řešením SIEM a SOAR v Azure.

Přečtěte si další informace o službě Microsoft Sentinel.

Konektory služby Microsoft Sentinel pro Defender for Cloud

Microsoft Sentinel zahrnuje integrované konektory pro Microsoft Defender pro cloud na úrovni předplatného a tenanta:

Když připojíte Defender for Cloud ke službě Microsoft Sentinel, stav výstrah Defenderu pro cloud, které se do Služby Microsoft Sentinel ingestují, se synchronizuje mezi těmito dvěma službami. Když se například výstraha zavře v Defenderu pro cloud, zobrazí se tato výstraha také jako uzavřená v Microsoft Sentinelu. Pokud změníte stav upozornění v programu Defender for Cloud, stav výstrahy v Microsoft Sentinelu se také aktualizuje, ale stav všech incidentů služby Microsoft Sentinel, které obsahují synchronizovanou výstrahu služby Microsoft Sentinel, se neaktualizují.

Funkci obousměrné synchronizace upozornění můžete povolit tak, aby automaticky synchronizovala stav původních upozornění Defenderu pro cloud s incidenty služby Microsoft Sentinel, které obsahují kopie těchto výstrah Defenderu pro cloud. Takže například když dojde k zavření incidentu služby Microsoft Sentinel, který obsahuje výstrahu Defenderu pro cloud, program Defender for Cloud automaticky zavře odpovídající původní výstrahu.

Další informace najdete v upozorněních služby Connect z Microsoft Defender pro cloud.

Poznámka

Funkce obousměrné synchronizace upozornění není dostupná v cloudu Azure Government.

Konfigurace příjmu všech protokolů auditu do Služby Microsoft Sentinel

Další alternativou pro zkoumání upozornění Defenderu pro cloud v Microsoft Sentinelu je streamování protokolů auditu do Microsoft Sentinelu:

Tip

Služba Microsoft Sentinel se účtuje na základě objemu dat, která ingestuje pro analýzu v Microsoft Sentinelu a ukládá se do pracovního prostoru služby Azure Monitor Log Analytics. Microsoft Sentinel nabízí flexibilní a předvídatelný cenový model. Další informace najdete na stránce s cenami služby Microsoft Sentinel.

Streamování upozornění na QRadar a Splunk

Export výstrah zabezpečení do splunku a QRadar používá službu Event Hubs a integrovaný konektor. Můžete použít skript PowerShellu nebo Azure Portal k nastavení požadavků na export výstrah zabezpečení pro vaše předplatné nebo tenanta. Pak budete muset použít postup specifický pro každý SIEM k instalaci řešení na platformě SIEM.

Požadavky

Před nastavením služeb Azure pro export upozornění se ujistěte, že máte:

  • Předplatné Azure (vytvoření bezplatného účtu)
  • Skupina prostředků Azure (Vytvoření skupiny prostředků)
  • Role vlastníka oboru upozornění (předplatné, skupina pro správu nebo tenant) nebo tato konkrétní oprávnění:
    • Zápis oprávnění pro centra událostí a zásady centra událostí
    • Vytvoření oprávnění pro Azure AD aplikací, pokud nepoužíváte existující aplikaci Azure AD
    • Přiřaďte oprávnění pro zásady, pokud používáte Azure Policy DeployIfNotExist.

Krok 1. Nastavení služeb Azure

Prostředí Azure můžete nastavit tak, aby podporovalo průběžné exporty pomocí následujících akcí:

  • Skript PowerShellu (doporučeno)

    Stáhněte a spusťte skript PowerShellu. Zadejte požadované parametry a skript provede všechny kroky za vás. Po dokončení skriptu vypíše informace, které použijete k instalaci řešení na platformě SIEM.

  • Azure Portal

    Tady je přehled kroků, které provedete v Azure Portal:

    1. Vytvořte obor názvů služby Event Hubs a centrum událostí.
    2. Definujte zásadu centra událostí s oprávněními Odeslat.
    3. Pokud streamujete upozornění na QRadar – Vytvořte zásadu centra událostí Naslouchání, zkopírujte a uložte připojovací řetězec zásady, kterou použijete v QRadar.
    4. Vytvořte skupinu příjemců a pak zkopírujte a uložte název, který použijete na platformě SIEM.
    5. Povolte průběžný export výstrah zabezpečení do definovaného centra událostí.
    6. Pokud streamujete upozornění na QRadar – Vytvořte účet úložiště, zkopírujte a uložte připojovací řetězec do účtu, který použijete v QRadaru.
    7. Pokud streamujete upozornění na Splunk:
      1. Vytvořte aplikaci Azure Active Directory (AD).
      2. Uložte heslo tenanta, ID aplikace a aplikace.
      3. Udělte oprávnění aplikaci Azure AD ke čtení z centra událostí, které jste vytvořili dříve.

    Podrobnější pokyny najdete v tématu Příprava prostředků Azure pro export do splunku a QRadaru.

Krok 2. Připojení centra událostí k preferovanému řešení pomocí integrovaných konektorů

Každá platforma SIEM má nástroj, který umožňuje přijímat výstrahy z Azure Event Hubs. Nainstalujte nástroj pro vaši platformu, abyste mohli začít přijímat upozornění.

Nástroj Hostované v Azure Description
IBM QRadar No Microsoft Azure DSM a Microsoft Azure Event Hubs Protocol jsou k dispozici ke stažení z webu podpory IBM.
Splunk No Doplněk Splunk pro Microsoft Cloud Services je projekt open source dostupný v Splunkbase.

Pokud ve vaší instanci Splunk nemůžete nainstalovat doplněk, například pokud používáte proxy server nebo běží v Splunk Cloudu, můžete tyto události předat kolektoru událostí Splunk pomocí funkce Azure Functions for Splunk, která se aktivuje novými zprávami v centru událostí.

Streamování upozornění s průběžným exportem

Pokud chcete streamovat výstrahy do ArcSightu, SumoLogic, serverů Syslog, LogRhythm, Logz.io Cloud Observability Platform a dalších řešení monitorování, připojte Defender for Cloud pomocí průběžného exportu a Azure Event Hubs:

Poznámka

Pokud chcete streamovat upozornění na úrovni tenanta, použijte tuto zásadu Azure a nastavte obor v kořenové skupině pro správu. Budete potřebovat oprávnění pro kořenovou skupinu pro správu, jak je vysvětleno v programu Defender for Cloud:Nasazení exportu do centra událostí pro Microsoft Defender pro upozornění a doporučení cloudu.

  1. Povolení průběžného exportu do vyhrazeného centra událostí na úrovni předplatného umožňuje streamovat výstrahy Defenderu pro cloud. Pokud to chcete udělat na úrovni skupiny pro správu pomocí Azure Policy, přečtěte si téma Vytváření konfigurací průběžného exportu ve velkém měřítku.

  2. Připojte centrum událostí k preferovanému řešení pomocí integrovaných konektorů:

    Nástroj Hostované v Azure Description
    SumoLogic No Pokyny k nastavení SumoLogic pro využívání dat z centra událostí jsou k dispozici na webu Collect Logs for the Azure Audit App from Event Hubs.
    ArcSight No Inteligentní konektor ArcSight Azure Event Hubs je k dispozici jako součást kolekce inteligentních konektorů ArcSight.
    Server syslogu No Pokud chcete streamovat data Azure Monitoru přímo na server syslogu, můžete použít řešení založené na funkci Azure.
    LogRhythm No Tady jsou k dispozici pokyny k nastavení LogRhythm pro shromažďování protokolů z centra událostí.
    Logz.io Yes Další informace najdete v tématu Začínáme s monitorováním a protokolováním pomocí Logz.io pro aplikace v Javě běžících v Azure.
  3. Volitelně můžete streamovat nezpracované protokoly do centra událostí a připojit se k preferovanému řešení. Další informace o dostupných datech monitorování

Pokud chcete zobrazit schémata událostí exportovaných datových typů, navštivte schémata událostí služby Event Hubs.

Použití Rozhraní API pro zabezpečení Microsoft Graphu k streamování výstrah do aplikací třetích stran

Jako alternativu k Microsoft Sentinelu a Azure Monitoru můžete použít integrovanou integraci Defenderu pro cloud se službou Microsoft Graph Rozhraní API pro zabezpečení. Nevyžaduje se žádná konfigurace a žádné další náklady.

Pomocí tohoto rozhraní API můžete streamovat výstrahy z celého tenanta (a dat z mnoha produktů Microsoft Security) do prostředí SIEM třetích stran a dalších oblíbených platforem:

Další kroky

Tato stránka vysvětluje, jak zajistit, aby vaše Microsoft Defender pro data upozornění na cloud byla dostupná v nástroji SIEM, SOAR nebo ITSM podle výběru. Související materiály najdete v tématech: