Streamen von Warnungen in Überwachungslösungen

Microsoft Defender for Cloud kann Ihre Sicherheitswarnungen in die verschiedene Lösungen für Security Information & Event Management (SIEM), Security Orchestration Automated Response (SOAR) und IT-Service-Management (ITSM) streamen. Sicherheitswarnungen werden generiert, wenn Bedrohungen für Ihre Ressourcen erkannt werden. Defender for Cloud priorisiert und listet die Warnungen auf der Seite „Warnungen“ auf, zusammen mit zusätzlichen Informationen, die erforderlich sind, um das Problem schnell zu untersuchen. Detaillierte Schritte werden bereitgestellt, um Sie bei der Behebung der erkannten Bedrohung zu unterstützen. Sämtliche Warnungsdaten werden 90 Tage lang aufbewahrt.

Es gibt integrierte Azure-Tools, die verfügbar sind, um sicherzustellen, dass Sie Ihre Warnungsdaten in den folgenden Lösungen anzeigen können:

• Microsoft Sentinel
• Splunk Enterprise and Splunk Cloud
• Power BI
• ServiceNow
• QRadar von IBM
• Palo Alto Networks
• ArcSight

Streamen von Warnungen an Defender XDR mit der Defender XDR-API

Defender for Cloud ist nativ in Microsoft Defender XDR integriert, sodass Sie die Defender XDR-API für Vorfälle und Warnungen verwenden können, um Warnungen und Vorfälle in Nicht-Microsoft-Lösungen zu streamen. Defender for Cloud-Kunden können auf eine API für alle Microsoft-Sicherheitsprodukte zugreifen und diese Integration als einfachere Möglichkeit zum Exportieren von Warnungen und Vorfällen verwenden.

Erfahren Sie, wie Sie SIEM-Tools in Defender XDR integrieren.

Warnmeldungen an Microsoft Sentinel übertragen

Defender for Cloud ist nativ mit Microsoft Sentinel integriert, der cloudnativen SIEM- und SOAR-Lösung von Azure.

Microsoft Sentinels Anschlüsse für Defender for Cloud

Microsoft Sentinel enthält integrierte Konnektoren für Microsoft Defender for Cloud auf Abonnement- und Mandantenebene.

Sie können Folgendes ausführen:

• Streamen Sie Warnmeldungen an Microsoft Sentinel auf Abonnementebene.
• Verbinden Sie alle Abonnements in Ihrem Mandanten mit Microsoft Sentinel.

Wenn Sie Defender für Cloud mit Microsoft Sentinel verbinden, wird der Status von Defender für Cloud-Warnungen, die in Microsoft Sentinel aufgenommen werden, zwischen den beiden Diensten synchronisiert. Wenn beispielsweise eine Warnung in Defender for Cloud geschlossen wird, wird diese Warnung auch in Microsoft Sentinel als geschlossen angezeigt. Wenn Sie den Status einer Warnung in Defender for Cloud ändern, wird der Status der Warnung in Microsoft Sentinel ebenfalls aktualisiert. Die Status aller Microsoft Sentinel-Vorfälle, welche die synchronisierte Microsoft Sentinel-Warnung enthalten, werden jedoch nicht aktualisiert.

Sie können das Feature Bidirektionale Synchronisierung von Warnungen aktivieren, um die Status der ursprünglichen Defender for Cloud-Warnungen automatisch mit Microsoft Sentinel-Vorfällen zu synchronisieren, die Kopien der Defender for Cloud-Warnungen enthalten. Wenn zum Beispiel ein Microsoft Sentinel-Vorfall geschlossen wird, der eine Defender for Cloud-Warnung enthält, schließt Defender for Cloud automatisch die entsprechende ursprüngliche Warnung.

Erfahren Sie, wie Sie Warnungen von Microsoft Defender for Cloud verbinden.

Hinweis

Das Feature der bidirektionalen Warnungssynchronisierung ist in der Azure Government-Cloud nicht verfügbar.

Konfigurieren Sie die Aufnahme aller Audit-Protokolle in Microsoft Sentinel

Eine weitere Alternative zur Untersuchung von Defender für Cloud-Warnungen in Microsoft Sentinel ist das Streaming Ihrer Audit-Protokolle in Microsoft Sentinel:

• Herstellen einer Verbindung mit Windows-Sicherheitsereignissen
• Sammeln von Daten aus Linux-basierten Quellen mithilfe von Syslog
• Verknüpfen von Daten aus dem Azure-Aktivitätsprotokoll

Tipp

Microsoft Sentinel wird auf der Grundlage des Datenvolumens abgerechnet, das zur Analyse in Microsoft Sentinel aufgenommen und im Azure Monitor Log Analytics-Arbeitsbereich gespeichert wird. Microsoft Sentinel bietet ein flexibles und berechenbares Preismodell. Weitere Informationen finden Sie auf der Microsoft Sentinel-Preisseite.

Streamen von Warnungen an QRadar und Splunk

Um Sicherheitswarnungen nach Splunk und QRadar zu exportieren, müssen Sie Event Hubs und einen integrierten Connector verwenden. Sie können entweder ein PowerShell-Skript oder das Azure-Portal verwenden, um die Anforderungen zum Exportieren von Sicherheitswarnungen für Ihr Abonnement oder Ihren Mandanten einzurichten. Sobald die Anforderungen erfüllt sind, müssen Sie das für jedes SIEM spezifische Verfahren verwenden, um die Lösung auf der SIEM-Plattform zu installieren.

Voraussetzungen

Bevor Sie die Azure-Dienste für den Export von Warnungen einrichten, stellen Sie sicher, dass Sie über Folgendes verfügen:

• Azure-Abonnement (Erstellen eines kostenlosen Kontos)
• Azure-Ressourcengruppe (Erstellen einer Ressourcengruppe)
• Die Rolle Besitzer im Warnungsbereich (Abonnement, Verwaltungsgruppe oder Mandant) oder diese spezifischen Berechtigungen:
  • Schreibberechtigungen für Event Hubs und die Event Hubs-Richtlinie
  • Erstellen-Berechtigungen für Microsoft Entra-Anwendungen, wenn Sie keine vorhandene Microsoft Entra Anwendung verwenden
  • Zuweisen-Berechtigungen für Richtlinien bei Verwendung der Azure-Richtlinie „DeployIfNotExist“

Einrichten der Azure-Dienste

Mithilfe der folgenden Optionen können Sie Ihre Azure-Umgebung so einrichten, dass der fortlaufende Export unterstützt wird:

PowerShell-Skript (empfohlen)

1. Laden Sie das PowerShell-Skript einfach herunter, und führen Sie es aus.

2. Geben Sie die erforderlichen Parameter ein.

3. Führen Sie das Skript aus.

Das Skript führt alle Schritte für Sie aus. Wenn das Skript abgeschlossen ist, verwenden Sie die Ausgabe, um die Lösung auf der SIEM-Plattform zu installieren.

Azure-Portal

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie nach Event Hubs, und wählen Sie diese Option aus.

3. Erstellen Sie einen Event Hubs-Namespace und einen Event Hub.

4. Definieren Sie eine Richtlinie für den Event Hub mit Send-Berechtigungen.

Wenn Sie Warnungen an QRadar streamen:

1. Erstellen Sie eine Event Hub-Richtlinie Listen.

2. Kopieren und speichern Sie die Verbindungszeichenfolge der Richtlinie zur Verwendung in QRadar.

3. Erstellen Sie eine Consumergruppe.

4. Kopieren und speichern Sie den Namen zur Verwendung in der SIEM-Plattform.

5. Aktivieren Sie den fortlaufenden Export von Sicherheitswarnungen an den definierten Event Hub.

6. Erstellen Sie ein Speicherkonto.

7. Kopieren Sie die Verbindungszeichenfolge, und speichern Sie diese im Konto zur Verwendung in QRadar.

Ausführlichere Anweisungen finden Sie unter Vorbereiten von Azure-Ressourcen zum Exportieren nach Splunk und QRadar.

Wenn Sie Warnungen an Splunk streamen:

1. Erstellen einer Microsoft Entra-Anwendung

2. Speichern Sie das Mandanten-, App-ID- und App-Kennwort.

3. Erteilen Sie der Microsoft Entra-Anwendung Berechtigungen zum Lesen aus dem zuvor erstellten Event Hub.

Ausführlichere Anweisungen finden Sie unter Vorbereiten von Azure-Ressourcen zum Exportieren nach Splunk und QRadar.

Herstellen einer Verbindung zwischen dem Event Hub und Ihrer bevorzugten Lösung mithilfe der integrierten Connectors

Jede SIEM-Plattform verfügt über ein Tool, mit dem der Empfang von Warnungen von Azure Event Hubs ermöglicht wird. Installieren Sie das Tool für Ihre Plattform, um mit dem Empfangen von Warnungen zu beginnen.

Tool	In Azure gehostet	BESCHREIBUNG
IBM QRadar	Nein	Das DSM und Event Hubs-Protokoll von Microsoft Azure sind zum Download auf der Website des IBM-Supports erhältlich.
Splunk	Nein	Das Splunk-Add-On für Microsoft Cloud Services ist ein Open Source-Projekt, das in Splunkbase verfügbar ist. Falls Sie kein Add-On in Ihrer Splunk-Instanz installieren können, z. B. bei Verwendung eines Proxys oder bei Ausführung in Splunk Cloud, können Sie diese Ereignisse an die HTTP-Ereignissammlung von Splunk weiterleiten. Verwenden Sie dazu die Azure-Funktion für Splunk, die durch neue Nachrichten im Event Hub ausgelöst wird.

Streamen von Warnungen mit fortlaufendem Export

Um Warnungen an ArcSight, SumoLogic, Syslog-Server, LogRhythm, Logz.io Cloud Observability Platform und andere Überwachungslösungen zu streamen, verbinden Sie Defender for Cloud mithilfe des fortlaufenden Exports und Azure Event Hubs.

Hinweis

Verwenden Sie zum Streamen von Warnungen auf Mandantenebene diese Azure-Richtlinie, und legen Sie den Bereich in der Stammverwaltungsgruppe fest. Sie benötigen Berechtigungen für die Stammverwaltungsgruppe, wie unter Berechtigungen in Microsoft Defender für Cloud erläutert: Bereitstellen eines Exports in Event Hub für Warnungen und Empfehlungen von Microsoft Defender für Cloud.

So streamen Sie Warnungen mit fortlaufendem Export:

1. Aktivieren Sie den fortlaufenden Export:

   • Auf Abonnementebene.
   • Auf Verwaltungsgruppenebene mithilfe von Azure Policy.

2. Stellen Sie eine Verbindung zwischen dem Event Hub und Ihrer bevorzugten Lösung mithilfe der integrierten Connectors her:

   Tool	In Azure gehostet	BESCHREIBUNG
   sumologic	Nein	Anweisungen zum Einrichten von SumoLogic für die Nutzung von Daten aus einem Event Hub finden Sie unter Collect Logs for the Azure Audit App from Event Hubs (Sammeln von Protokollen für die Azure Audit App aus Event Hubs).
   ArcSight	Nein	Der intelligente Azure Event Hubs-Connector von ArcSight wird im Rahmen dieser ArcSight-Sammlung von intelligenten Connectors zur Verfügung gestellt.
   Syslog-Server	Nein	Wenn Sie Azure Monitor-Daten direkt an einen Syslog-Server streamen möchten, können Sie eine auf einer Azure-Funktion basierende Lösung nutzen.
   LogRhythm	Nein	Anweisungen zum Einrichten von LogRhythm zum Erfassen von Protokollen aus einem Event Hub sind hier verfügbar.
   Logz.io	Ja	Weitere Informationen finden Sie unter Erste Schritte bei der Überwachung und Protokollierung mithilfe von Logz.io für in Azure ausgeführte Java-Apps.

3. (Optional) Streamen Sie unformatierte Protokolle an den Event Hub, und stellen Sie eine Verbindung mit Ihrer bevorzugten Lösung her. Weitere Informationen finden Sie unter Verfügbare Überwachungsdaten.

Die Ereignisschemas der exportierten Datentypen finden Sie in den Event Hub-Ereignisschemas.

Verwenden der Microsoft Graph-Sicherheits-API zum Streamen von Warnungen an Nicht-Microsoft-Anwendungen

Eingebaute Integration von Defender for Cloud in die Microsoft Graph-Sicherheits-API ohne die Notwendigkeit weiterer Konfigurationsanforderungen.

Sie können diese API verwenden, um Warnungen von Ihrem gesamten Mandanten (und Daten von vielen Microsoft-Sicherheitsprodukten) in Nicht-Microsoft-SIEMs und andere beliebte Plattformen zu streamen:

• Splunk Enterprise und Splunk Cloud: Verwenden des Microsoft Graph-Sicherheits-API-Add-Ons für Splunk
• Power BI - Herstellen einer Verbindung mit der Microsoft Graph-Sicherheits-API in Power BI Desktop.
• ServiceNow - Installieren und Konfigurieren der Microsoft Graph-Sicherheits-API-Anwendung aus dem ServiceNow Store.
• QRadar - Verwenden des Geräteunterstützungsmoduls von IBM für Microsoft Defender für Cloud über Microsoft Graph-API.
• Palo Alto Networks, Anomali, Lookout, InSpark und mehr: Verwenden der Sicherheits-API von Microsoft Graph.

Hinweis

Die bevorzugte Möglichkeit zum Exportieren von Warnungen besteht im fortlaufenden Exportieren von Microsoft Defender for Cloud-Daten.

Nächste Schritte

Auf dieser Seite wird erklärt, wie Sie sicherstellen, dass Ihre Microsoft Defender für Cloud-Warndaten im SIEM-, SOAR- oder ITSM-Tool Ihrer Wahl verfügbar sind. Verwandte Informationen finden Sie hier:

• Was ist Microsoft Sentinel?
• Alarmvalidierung in Microsoft Defender für Cloud - Überprüfen Sie, ob Ihre Alarme richtig konfiguriert sind
• Kontinuierlicher Export von Defender für Cloud-Daten