Transmisión de alertas a soluciones de supervisión

  • Artículo

Microsoft Defender for Cloud puede transmitir las alertas de seguridad a varias soluciones de administración de eventos e información de seguridad (SIEM), respuesta automatizada de orquestación de seguridad (SOAR) y administración de servicios de TI (ITSM). Las alertas de seguridad se generan cuando se detectan amenazas en los recursos. Defender for Cloud asigna prioridades y enumera las alertas en la página de Alertas, junto con información adicional necesaria para investigar rápidamente el problema. Se proporcionan pasos detallados para ayudarle a corregir la amenaza detectada. Todas las alertas se conservan durante 90 días.

Hay herramientas integradas de Azure que están disponibles para asegurarse de que puede ver los datos de alerta en las siguientes soluciones:

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • Power BI
  • ServiceNow
  • QRadar de IBM
  • Palo Alto Networks
  • ArcSight

Transmisión de alertas a Defender XDR con la API de Defender XDR

Defender for Cloud se integra de forma nativa con Microsoft Defender XDR que permite usar la API de incidentes y alertas de Defender XDR para transmitir alertas e incidentes a soluciones que no son de Microsoft. Los clientes de Defender for Cloud pueden acceder a una API para todos los productos de seguridad de Microsoft y pueden usar esta integración como una manera más sencilla de exportar alertas e incidentes.

Obtenga información sobre cómo integrar herramientas de SIEM con Defender XDR.

Transmisión de alertas a Microsoft Sentinel

Defender for Cloud se integra de forma nativa con Microsoft Sentinel, la solución SIEM y SOAR nativa de nube de Azure.

Conectores de Microsoft Sentinel para Defender for Cloud

Microsoft Sentinel incluye conectores integrados para Defender for Cloud en los niveles de suscripción e inquilino.

Puede:

Al conectar Defender for Cloud a Microsoft Sentinel, el estado de las alertas de Defender for Cloud que se ingieren en Microsoft Sentinel se sincroniza entre los dos servicios. Por ejemplo, cuando se cierra una alerta en Defender for Cloud, la alerta se muestra también como cerrada en Microsoft Sentinel. Al cambiar el estado de una alerta en Defender for Cloud, también se actualiza el estado de la alerta en Microsoft Sentinel. Pero los estados de los incidentes de Microsoft Sentinel que contienen la alerta de Microsoft Sentinel sincronizada no se actualizan.

Puede habilitar la característica de sincronización bidireccional de alertas para sincronizar automáticamente el estado de las alertas de Defender for Cloud originales con los incidentes de Microsoft Sentinel que contienen las copias de esas alertas de Defender for Cloud. Por ejemplo, cuando se cierra un incidente de Microsoft Sentinel que contiene una alerta de Defender for Cloud, Defender for Cloud cierra automáticamente la alerta original correspondiente.

Obtenga más información sobre la Conexión de alertas desde Microsoft Defender for Cloud.

Nota:

La característica de sincronización de alertas bidireccional no está disponible en la nube de Azure Government.

Configuración de la ingesta de todos los registros de auditoría en Microsoft Sentinel

Otra alternativa para investigar las alertas de Defender for Cloud en Microsoft Sentinel es transmitir los registros de auditoría a Microsoft Sentinel:

Sugerencia

Microsoft Sentinel se factura en función del volumen de datos que ingiere para el análisis en Microsoft Sentinel y que almacena en el área de trabajo de Log Analytics de Azure Monitor. Microsoft Sentinel ofrece un modelo de precios flexible y predecible. Más información en la página de precios de Microsoft Sentinel

Transmisión de alertas a QRadar y Splunk

Para exportar alertas de seguridad a Splunk y QRadar tendrá que usar Event Hubs y un conector integrado. Puede usar un script de PowerShell o Azure Portal para configurar los requisitos para exportar las alertas de seguridad de su suscripción o inquilino. Una vez implementados los requisitos, debe usar el procedimiento específico de cada SIEM para instalar la solución en la plataforma de SIEM.

Requisitos previos

Antes de configurar los servicios de Azure para exportar alertas, asegúrese de que tiene lo siguiente:

  • Suscripción de Azure (cree una cuenta gratuita)
  • Grupo de recursos de Azure (cree un grupo de recursos)
  • Rol Propietario en el ámbito de las alertas (suscripción, grupo de administración o inquilino) o estos permisos específicos:
    • Permisos de escritura para Event Hubs y la directiva de Event Hubs
    • Crear permisos para aplicaciones de Microsoft Entra, si no usa una aplicación existente de Microsoft Entra
    • Asigne permisos para las directivas, si usa la directiva "DeployIfNotExist" de Azure Policy.

Configuración de los servicios de Azure

Puede configurar el entorno de Azure para admitir la exportación continua mediante:

  1. Descargue y ejecute el script de PowerShell.

  2. Escriba los parámetros obligatorios.

  3. Ejecute el script.

El script realiza todos los pasos. Cuando finalice el script, use la salida para instalar la solución en la plataforma de SIEM.

Azure portal

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione Event Hubs.

  3. Cree un espacio de nombres de Event Hubs y un centro de eventos..

  4. Defina una directiva para el centro de eventos con el permiso Send.

Si va a transmitir alertas a QRadar:

  1. Crear una directiva Listen de centro de eventos.

  2. Copie y guarde la cadena de conexión de la directiva que se va a usar en QRadar.

  3. Crear un grupo de consumidores.

  4. Copie y guarde el nombre que se usará en la plataforma SIEM.

  5. Habilite la exportación continua de alertas de seguridad al centro de eventos definido.

  6. Cree una cuenta de almacenamiento.

  7. Copie y guarde la cadena de conexión en la cuenta que se va a usar en QRadar.

Para obtener instrucciones más detalladas, consulte Preparación de los recursos de Azure para exportar a Splunk y QRadar.

Si va a transmitir alertas a Splunk:

  1. Crear una aplicación de Microsoft Entra.

  2. Guarde el inquilino, el identificador de aplicación y la contraseña de la aplicación.

  3. Conceda permisos a la aplicación Microsoft Entra para leer desde el centro de eventos que creó antes.

Para obtener instrucciones más detalladas, consulte Preparación de los recursos de Azure para exportar a Splunk y QRadar.

Conexión del centro de eventos a su solución preferida mediante los conectores integrados

Cada plataforma de SIEM tiene una herramienta para permitir que reciba alertas de Azure Event Hubs. Instale la herramienta para que la plataforma empiece a recibir alertas.

Herramienta Hospedado en Azure Descripción
IBM QRadar No Los protocolos de Microsoft Azure DSM y Microsoft Azure Event Hubs se pueden descargar en el sitio web de soporte técnico de IBM.
Splunk No El complemento Splunk para Microsoft Cloud Services es un proyecto de código abierto disponible en Splunkbase.

Si no puede instalar un complemento en la instancia de Splunk (por ejemplo, si usa un proxy o si se ejecuta en Splunk Cloud), puede reenviar estos eventos al recopilador de eventos HTTP de Splunk mediante esta función de Azure para Splunk que desencadenan los nuevos mensajes del centro de eventos.

Transmisión de alertas con exportación continua

Para transmitir alertas a ArcSight, SumoLogic, servidores de Syslog, LogRhythm, Logz.io Cloud Observability Platform y otras soluciones de supervisión, conecte Defender for Cloud mediante la exportación continua y Azure Event Hubs.

Nota:

Para transmitir alertas en el nivel de inquilino, use esta directiva de Azure y establezca el ámbito en el grupo de administración raíz. Necesitará permisos para el grupo de administración raíz, como se explica en Permisos de Defender for Cloud: implementación de la exportación en un centro de eventos para alertas y recomendaciones de Microsoft Defender for Cloud.

Para transmitir alertas con exportación continua:

  1. Habilitar exportación continua:

  2. Conecte el centro de eventos a su solución preferida mediante los conectores integrados:

    Herramienta Hospedado en Azure Descripción
    sumologic No Las instrucciones para configurar SumoLogic para consumir datos de un centro de eventos están disponibles en Recopilación de registros para la aplicación de auditoría de Azure desde Event Hubs.
    ArcSight No El conector inteligente de Azure Event Hubs de ArcSight está disponible como parte de esta colección de conectores inteligentes de ArcSight.
    Servidor de Syslog No Si quiere transmitir datos de Azure Monitor directamente a un servidor syslog, puede usar una solución basada en una función de Azure.
    LogRhythm No Las instrucciones necesarias para configurar LogRhythm con el fin de recopilar registros de un centro de eventos están disponibles aquí.
    Logz.io Para más información, consulte Introducción a la supervisión y el registro con Logz.io para aplicaciones Java que se ejecutan en Azure.

  3. (Opcional) Transmitir los registros sin procesar al centro de eventos conectarse a su solución preferida. Obtenga más información en Datos de supervisión disponibles.

Para ver los esquemas de eventos de los tipos de datos exportados, consulte el artículo sobre los esquemas de eventos de Event Hubs.

Usar la API de seguridad de Microsoft Graph para transmitir alertas a aplicaciones que no son de Microsoft

Integración de Defender for Cloud integrada con API de seguridad de Microsoft Graph sin necesidad de requisitos de configuración adicionales.

Puede usar esta API para transmitir alertas del inquilino completo (y datos de muchos otros productos de seguridad de Microsoft) a SIEM que no son de Microsoft y otras plataformas populares:

Nota:

La manera preferida de exportar alertas es exportar continuamente los datos de Microsoft Defender for Cloud.

Pasos siguientes

En esta página hemos descrito cómo garantizar que los datos de alerta de Microsoft Defender for Cloud están disponibles en la herramienta SIEM, SOAR o ITSM de su elección. Para obtener material relacionado, consulte: