Preparación de los recursos de Azure para exportar a Splunk y QRadar

  • Artículo

Para transmitir alertas de seguridad de Microsoft Defender for Cloud a IBM QRadar y Splunk, debe configurar recursos en Azure, como Event Hubs y Microsoft Entra ID. Estas son las instrucciones para configurar estos recursos en el Azure Portal, pero también puede configurarlos mediante un script de PowerShell. Asegúrese de revisar las alertas de Stream en QRadar y Splunk antes de configurar los recursos de Azure para exportar alertas a QRadar y Splunk.

Para configurar los recursos de Azure para QRadar y Splunk en el Azure Portal:

Paso 1: Creación de un espacio de nombres de Event Hubs y centro de eventos con permisos de acceso

  1. En el servicio Event Hubs, cree un espacio de nombres de Event Hubs:

    1. Seleccione Crear.
    2. Escriba los detalles del espacio de nombres, seleccione Revisar y crear y seleccione Crear.

    Screenshot of creating an Event Hubs namespace in Microsoft Event Hubs.

  2. Crear un centro de eventos:

    1. En el espacio de nombres que cree, seleccione + Centro de eventos.
    2. Escriba los detalles del centro de eventos y seleccione Revisar y crear y seleccione Crear.

  3. Creación de una directiva de acceso compartido.

    1. En el menú Centro de eventos, seleccione el espacio de nombres de Event Hubs que creó.
    2. En el menú Espacio de nombres de Centro de eventos, seleccione Event Hubs.
    3. Seleccione el centro de eventos que acaba de crear.
    4. En el menú del centro de eventos, seleccione Directivas de acceso compartidas.
    5. Seleccione Agregar, escriba un nombre de directiva único y seleccione Enviar.
    6. Seleccione Crear para crear la directiva. Screenshot of creating a shared policy in Microsoft Event Hubs.

Paso 2: Para la transmisión a QRadar SIEM - Crear una política de escucha

  1. Seleccione Agregar, escriba un nombre de directiva único y seleccione Escuchar.

  2. Seleccione Crear para crear la directiva.

  3. Una vez creada la directiva de escucha, copie la clave principal de la cadena de conexión y guárdela para usarla más adelante.

    Screenshot of creating a listen policy in Microsoft Event Hubs.

Paso 3: Cree un grupo de consumidores y, a continuación, copie y guarde el nombre para utilizarlo en la plataforma SIEM

  1. En la sección Entidades del menú del centro de eventos de Event Hubs, seleccione Event Hubs y seleccione el centro de eventos que creó.

    Screenshot of opening the event hub Microsoft Event Hubs.

  2. Seleccione Grupo de consumidores.

Paso 4: Activar la exportación continua para el ámbito de las alertas

  1. En el cuadro de búsqueda de Azure, busque "directiva" y vaya a la Directiva.

  2. En el menú Directiva, seleccione Definiciones.

  3. Busque “Implementar exportación” y seleccione la directiva integrada ”mplementar exportación en el centro de eventos para datos de Microsoft Defender for Cloud.

  4. Seleccione Asignar.

  5. Defina las opciones de directiva básicas:

    1. En Ámbito, seleccione ... para seleccionar el ámbito al que se va a aplicar la directiva.
    2. Busque el grupo de administración raíz (para el ámbito del inquilino), el grupo de administración, la suscripción o el grupo de recursos en el ámbito y seleccione Seleccionar.
      • Para seleccionar un nivel de grupo de administración raíz de inquilino, debe tener permisos en el nivel de inquilino.
    3. (Opcional) En Exclusiones, puede definir suscripciones específicas para excluir de la exportación.
    4. Escriba un nombre de asignación.
    5. Asegúrese de que el cumplimiento de directivas esté establecido habilitado.

    Screenshot of assignment for the export policy.

  6. En los parámetros de directiva:

    1. Escriba el grupo de recursos donde se guarda el recurso de automatización.
    2. Seleccione la ubicación del grupo de recursos.
    3. Seleccione ... junto a los detalles del centro de eventos y escriba los detalles del centro de eventos, entre los que se incluyen:
      • Suscripción.
      • El espacio de nombres de Event Hubs que creó.
      • El centro de eventos que creó.
      • En authorizationrules, seleccione la directiva de acceso compartido que creó para enviar alertas.

    Screenshot of parameters for the export policy.

  7. Seleccione Revisar y crear y Crear para finalizar el proceso de definición de la exportación continua a Event Hubs.

    • Tenga en cuenta que, al activar la directiva de exportación continua en el inquilino (nivel de grupo de administración raíz), transmite automáticamente las alertas en cualquier nueva suscripción que se creará en este inquilino.

Paso 5: Para transmitir alertas a QRadar SIEM: creación de una cuenta de almacenamiento

  1. En Azure Portal, seleccione Crear un recurso y seleccione Cuenta de almacenamiento. Si no se muestra esa opción, busque "cuenta de almacenamiento".

  2. Seleccione Crear.

  3. Escriba los detalles de la cuenta de almacenamiento, seleccione Revisar y crear y, a continuación, Crear.

    Screenshot of creating storage account.

  4. Después de crear la cuenta de almacenamiento e ir al recurso, en el menú seleccione Claves de acceso.

  5. Seleccione Mostrar claves para ver las claves y copie la cadena de conexión de la clave 1.

    Screenshot of copying storage account key.

Paso 6: Para transmitir alertas a Splunk SIEM: creación de una aplicación de Microsoft Entra

  1. En el cuadro de búsqueda del menú, busque "Microsoft Entra ID" y vaya a Microsoft Entra ID.

  2. Vaya a Azure Portal, seleccione Crear un recurso y Microsoft Entra ID. Si no se muestra esa opción, busque "active directory".

  3. En el menú, seleccione Registros de aplicaciones.

  4. Seleccione Nuevo registro.

  5. Escriba un nombre para la aplicación y seleccione Registrar.

    Screenshot of registering application.

  6. Copie en el Portapapeles y guarde el id. de aplicación (cliente) y el id. de directorio (inquilino).

  7. Creación del secreto de cliente para la aplicación:

    1. En el menú, vaya a Certificados y secretos.
    2. Cree una contraseña para que la aplicación demuestre su identidad al solicitar un token:
    3. Seleccione Nuevo secreto de cliente.
    4. Escriba una breve descripción, elija la hora de expiración del secreto y seleccione Agregar.

    Screenshot of creating client secret.

  8. Una vez creado el secreto, copie el identificador del secreto y guárdelo para usarlo posteriormente junto con el identificador de aplicación y el identificador de directorio (inquilino).

Paso 7: Para transmitir alertas a Splunk SIEM: permitir que Microsoft Entra ID lea desde el centro de eventos

  1. Vaya al espacio de nombres de Event Hubs que creó.

  2. En el menú, vaya a Control de acceso.

  3. Seleccione Agregar y seleccione Agregar asignación de roles.

  4. Seleccione Agregar asignación de roles.

    Screenshot of adding a role assignment.

  5. En la pestaña Roles, busque Receptor de datos de Azure Event Hubs.

  6. Seleccione Next (Siguiente).

  7. Elija Seleccionar miembros.

  8. Busque la aplicación de Microsoft Entra que creó y selecciónela.

  9. Seleccione Cerrar.

Para seguir configurando la exportación de alertas, instale los conectores integrados para el SIEM que usa.