Vorbereiten von Azure-Ressourcen zum Exportieren nach Splunk und QRadar

  • Artikel

Um Microsoft Defender für Cloud-Sicherheitswarnungen an IBM QRadar und Splunk zu streamen, müssen Sie Ressourcen in Azure einrichten, z. B. Event Hubs und Microsoft Entra ID. Nachfolgend finden Sie die Anweisungen zum Konfigurieren dieser Ressourcen im Azure-Portal, sie können sie jedoch auch mithilfe eines PowerShell-Skripts konfigurieren. Sie sollten Streamen von Warnungen an QRadar und Splunk lesen, bevor Sie die Azure-Ressourcen zum Exportieren von Warnungen an QRadar und Splunk konfigurieren.

So konfigurieren Sie die Azure-Ressourcen für QRadar und Splunk im Azure-Portal:

Schritt 1: Erstellen eines Event Hubs-Namespace und eines Event Hubs mit Sendeberechtigungen

  1. Erstellen Sie im Event Hubs-Dienst einen Event Hubs-Namespace:

    1. Klicken Sie auf Erstellen.
    2. Geben Sie die Details des Namespaces ein, wählen Sie Überprüfen + erstellen und dann Erstellen aus.

    Screenshot of creating an Event Hubs namespace in Microsoft Event Hubs.

  2. Erstellen eines Event Hubs:

    1. Wählen Sie im von Ihnen erstellten Namespace + Event Hub aus.
    2. Geben Sie die Details des Event Hubs ein, wählen Sie anschließend Überprüfen + erstellen und dann Erstellen aus.

  3. Erstellen einer Richtlinie für den gemeinsamen Zugriff.

    1. Wählen Sie im Menü „Event Hub“ den Event Hubs-Namespace aus, den Sie erstellt haben.
    2. Wählen Sie im Menü „Event Hubs-Namespace“ die Option Event Hubs aus.
    3. Wählen Sie den gerade erstellten Event Hub aus.
    4. Wählen Sie im Menü „Event Hub“ die Option Richtlinien für gemeinsamen Zugriff aus.
    5. Wählen Sie Hinzufügen aus, geben Sie einen eindeutigen Richtliniennamen ein, und wählen Sie Senden aus.
    6. Klicken Sie auf Erstellen, um die Richtlinie zu erstellen. Screenshot of creating a shared policy in Microsoft Event Hubs.

Schritt 2: Zum Streamen an QRadar SIEM – Erstellen einer Richtlinie zum Lauschen

  1. Wählen Sie Hinzufügen aus, geben Sie einen eindeutigen Richtliniennamen ein, und wählen Sie Lauschen aus.

  2. Klicken Sie auf Erstellen, um die Richtlinie zu erstellen.

  3. Nachdem die Richtlinie zum Lauschen erstellt wurde, kopieren Sie den Primärschlüssel der Verbindungszeichenfolge, und speichern Sie ihn für die spätere Verwendung.

    Screenshot of creating a listen policy in Microsoft Event Hubs.

Schritt 3: Erstellen einer Consumergruppe und Kopieren und Speichern des Namens, der auf der SIEM-Plattform verwendet werden soll

  1. Wählen Sie im Abschnitt „Entitäten“ des Menüs „Event Hubs“ die Option Event Hubs und dann den von Ihnen erstellten Event Hub aus.

    Screenshot of opening the event hub Microsoft Event Hubs.

  2. Wählen Sie Consumergruppe aus.

Schritt 4: Aktivieren des fortlaufenden Exports für den Bereich der Warnungen

  1. Geben Sie „Richtlinie“ im Azure-Suchfeld ein, und wechseln Sie zur Richtlinie.

  2. Wählen Sie im Menü „Richtlinie“ die Option Definitionen aus.

  3. Suchen Sie nach „Export bereitstellen“, und wählen Sie die integrierte Richtlinie Export zu Event Hub für Microsoft Defender for Cloud-Daten bereitstellen aus.

  4. Wählen Sie Zuweisen aus.

  5. Definieren Sie die grundlegenden Richtlinienoptionen:

    1. Wählen Sie unter „Bereich“ über ... den Bereich aus, auf den die Richtlinie angewendet werden soll.
    2. Suchen Sie die Stammverwaltungsgruppe (für den Mandantenbereich), die Verwaltungsgruppe, das Abonnement oder die Ressourcengruppe im Bereich, und wählen Sie Auswählen aus.
      • Wenn Sie eine Mandantenstamm-Verwaltungsgruppenebene auswählen möchten, müssen Sie über Berechtigungen auf Mandantenebene verfügen.
    3. (Optional) Unter „Ausschlüsse“ können Sie bestimmte Abonnements definieren, die aus dem Export ausgeschlossen werden sollen.
    4. Geben Sie einen Zuordnungsnamen ein.
    5. Stellen Sie sicher, dass die Richtlinienerzwingung aktiviert ist.

    Screenshot of assignment for the export policy.

  6. In den Richtlinienparametern:

    1. Geben Sie die Ressourcengruppe ein, in der die Automatisierungsressource gespeichert wird.
    2. Wählen Sie einen Ressourcengruppenstandort aus.
    3. Wählen Sie ... neben den Event Hub-Details aus, und geben Sie die Details für den Event Hub ein, z. B.:
      • Abonnement.
      • Der von Ihnen erstellte Event Hubs-Namespace.
      • Der von Ihnen erstellte Event Hub.
      • Wählen Sie unter authorizationrules die Richtlinie für den gemeinsamen Zugriff aus, die Sie zum Senden von Warnungen erstellt haben.

    Screenshot of parameters for the export policy.

  7. Wählen Sie Überprüfen und erstellen und Erstellen aus, um den die Definition des fortlaufenden Exports in Event Hubs abzuschließen.

    • Beachten Sie, dass beim Aktivieren einer Richtlinien für den fortlaufenden Export auf Mandantenebene (Stammverwaltungsgruppen-Ebene) Ihre Warnungen automatisch an jedes neue Abonnement gestreamt wird, das unter diesem Mandanten erstellt wird.

Schritt 5: Zum Streamen von Warnungen an QRadar SIEM – Erstellen eines Speicherkontos

  1. Wechseln Sie zum Azure-Portal, wählen Sie die Option Ressource erstellen und dann Speicherkonto aus. Wenn diese Option nicht angezeigt wird, suchen Sie nach „Speicherkonto“.

  2. Klicken Sie auf Erstellen.

  3. Geben Sie die Details für das Speicherkonto ein, wählen Sie Überprüfen und erstellen und dann Erstellen aus.

    Screenshot of creating storage account.

  4. Nachdem Sie Ihr Speicherkonto erstellt haben und zur Ressource gewechselt sind, wählen Sie im Menü die Option Zugriffsschlüssel aus.

  5. Wählen Sie Schlüssel anzeigen aus, um die Schlüssel anzuzeigen, und kopieren Sie die Verbindungszeichenfolge von Schlüssel 1.

    Screenshot of copying storage account key.

Schritt 6: Zum Streamen von Warnungen an Splunk SIEM – Erstellen einer Microsoft Entra-Anwendung

  1. Suchen Sie im Menüsuchfeld nach „Microsoft Entra ID“, und wechseln Sie zu „Microsoft Entra ID“.

  2. Wechseln Sie zum Azure-Portal, wählen Sie die Option Ressource erstellen und dann Microsoft Entra ID aus. Wenn diese Option nicht angezeigt wird, suchen Sie nach „Active Directory“.

  3. Wählen Sie im Menü die Option App-Registrierungen aus.

  4. Wählen Sie Neue Registrierung aus.

  5. Geben Sie einen eindeutigen Namen für die Anwendung ein, und wählen Sie Registrieren aus.

    Screenshot of registering application.

  6. Kopieren Sie Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant) in die Zwischenablage, und speichern Sie sie.

  7. Erstellen Sie das Clientgeheimnis für die Anwendung:

    1. Wechseln Sie im Menü zu Zertifikaten und geheimen Schlüsseln.
    2. Erstellen Sie ein Kennwort für die Anwendung, um ihre Identität beim Anfordern eines Tokens nachzuweisen:
    3. Wählen Sie Neuer geheimer Clientschlüssel.
    4. Geben Sie eine kurze Beschreibung ein, legen Sie die Ablaufzeit des Geheimnisses fest, und wählen Sie Hinzufügen aus.

    Screenshot of creating client secret.

  8. Nachdem das Geheimnis erstellt wurde, kopieren und speichern Sie Geheimnis-ID zur späteren Verwendung zusammen mit der Anwendungs-ID und der Verzeichnis-ID (Mandant-ID).

Schritt 7: Zum Streamen von Warnungen an Splunk SIEM – Zulassen, dass Microsoft Entra ID Daten im Event Hub liest

  1. Wechseln Sie zu dem von Ihnen erstellten Event Hubs-Namespace.

  2. Wechseln Sie im Menü zu Zugriffssteuerung.

  3. Wählen Sie Hinzufügen und anschließend Rollenzuweisung hinzufügen aus.

  4. Wählen Sie Rollenzuweisung hinzufügen aus.

    Screenshot of adding a role assignment.

  5. Suchen Sie auf der Registerkarte „Rollen“ nach Azure Event Hubs-Datenempfänger.

  6. Wählen Sie Weiter aus.

  7. Wählen Sie Mitglieder auswählen aus.

  8. Suchen Sie nach der Microsoft Entra-Anwendung, die Sie zuvor erstellt haben, und wählen Sie sie aus.

  9. Wählen Sie Schließen aus.

Um den Export von Warnungen weiter einzurichten, installieren Sie die integrierten Connectors für das SIEM, das Sie verwenden.