Compartir a través de

Preparación de los recursos de Azure para exportar a Splunk y QRadar

  • Artículo

Para transmitir alertas de seguridad de Microsoft Defender for Cloud a IBM QRadar y Splunk, debe configurar recursos en Azure, como Event Hubs y Microsoft Entra ID. Estas son las instrucciones para configurar estos recursos en el Azure Portal, pero también puede configurarlos mediante un script de PowerShell. Asegúrese de revisar las alertas de Stream en QRadar y Splunk antes de configurar los recursos de Azure para exportar alertas a QRadar y Splunk.

Para configurar los recursos de Azure para QRadar y Splunk en el Azure Portal:

Paso 1: Creación de un espacio de nombres de Event Hubs y centro de eventos con permisos de acceso

  1. En el servicio Event Hubs, cree un espacio de nombres de Event Hubs:

    1. Seleccione Crear.
    2. Escriba los detalles del espacio de nombres, seleccione Revisar y crear y seleccione Crear.

    Captura de pantalla de la creación de un espacio de nombres de Event Hubs en Microsoft Event Hubs.

  2. Crear un centro de eventos:

    1. En el espacio de nombres que cree, seleccione + Centro de eventos.
    2. Escriba los detalles del centro de eventos y seleccione Revisar y crear y seleccione Crear.

  3. Creación de una directiva de acceso compartido.

    1. En el menú Centro de eventos, seleccione el espacio de nombres de Event Hubs que creó.
    2. En el menú Espacio de nombres de Centro de eventos, seleccione Event Hubs.
    3. Seleccione el centro de eventos que acaba de crear.
    4. En el menú del centro de eventos, seleccione Directivas de acceso compartidas.
    5. Seleccione Agregar, escriba un nombre de directiva único y seleccione Enviar.
    6. Seleccione Crear para crear la directiva. Captura de pantalla de la creación de una directiva compartida en Microsoft Event Hubs.

Paso 2: Para la transmisión a QRadar SIEM - Crear una política de escucha

  1. Seleccione Agregar, escriba un nombre de directiva único y seleccione Escuchar.

  2. Seleccione Crear para crear la directiva.

  3. Una vez creada la directiva de escucha, copie la clave principal de la cadena de conexión y guárdela para usarla más adelante.

    Captura de pantalla de la creación de una directiva de escucha en Microsoft Event Hubs.

Paso 3: Cree un grupo de consumidores y, a continuación, copie y guarde el nombre para utilizarlo en la plataforma SIEM

  1. En la sección Entidades del menú del centro de eventos de Event Hubs, seleccione Event Hubs y seleccione el centro de eventos que creó.

    Captura de pantalla de la apertura del centro de eventos de Microsoft Event Hubs.

  2. Seleccione Grupo de consumidores.

Paso 4: Activar la exportación continua para el ámbito de las alertas

  1. En el cuadro de búsqueda de Azure, busque "directiva" y vaya a la Directiva.

  2. En el menú Directiva, seleccione Definiciones.

  3. Busque “Implementar exportación” y seleccione la directiva integrada ”mplementar exportación en el centro de eventos para datos de Microsoft Defender for Cloud.

  4. Seleccione Asignar.

  5. Defina las opciones de directiva básicas:

    1. En Ámbito, seleccione ... para seleccionar el ámbito al que se va a aplicar la directiva.
    2. Busque el grupo de administración raíz (para el ámbito del inquilino), el grupo de administración, la suscripción o el grupo de recursos en el ámbito y seleccione Seleccionar.
      • Para seleccionar un nivel de grupo de administración raíz de inquilino, debe tener permisos en el nivel de inquilino.
    3. (Opcional) En Exclusiones, puede definir suscripciones específicas para excluir de la exportación.
    4. Escriba un nombre de asignación.
    5. Asegúrese de que el cumplimiento de directivas esté establecido habilitado.

    Captura de pantalla de la asignación de la directiva de exportación.

  6. En los parámetros de directiva:

    1. Escriba el grupo de recursos donde se guarda el recurso de automatización.
    2. Seleccione la ubicación del grupo de recursos.
    3. Seleccione ... junto a los detalles del centro de eventos y escriba los detalles del centro de eventos, entre los que se incluyen:
      • Suscripción.
      • El espacio de nombres de Event Hubs que creó.
      • El centro de eventos que creó.
      • En authorizationrules, seleccione la directiva de acceso compartido que creó para enviar alertas.

    Captura de pantalla de los parámetros de la directiva de exportación.

  7. Seleccione Revisar y crear y Crear para finalizar el proceso de definición de la exportación continua a Event Hubs.

    • Tenga en cuenta que, al activar la directiva de exportación continua en el inquilino (nivel de grupo de administración raíz), transmite automáticamente las alertas en cualquier nueva suscripción que se creará en este inquilino.

Paso 5: Para transmitir alertas a QRadar SIEM: creación de una cuenta de almacenamiento

  1. En Azure Portal, seleccione Crear un recurso y seleccione Cuenta de almacenamiento. Si no se muestra esa opción, busque "cuenta de almacenamiento".

  2. Seleccione Crear.

  3. Escriba los detalles de la cuenta de almacenamiento, seleccione Revisar y crear y, a continuación, Crear.

    Captura de pantalla de la creación de una cuenta de almacenamiento.

  4. Después de crear la cuenta de almacenamiento e ir al recurso, en el menú seleccione Claves de acceso.

  5. Seleccione Mostrar claves para ver las claves y copie la cadena de conexión de la clave 1.

    Captura de pantalla de la copia de la clave de la cuenta de almacenamiento.

Paso 6: Para transmitir alertas a Splunk SIEM: creación de una aplicación de Microsoft Entra

  1. En el cuadro de búsqueda del menú, busque "Microsoft Entra ID" y vaya a Microsoft Entra ID.

  2. Vaya a Azure Portal, seleccione Crear un recurso y Microsoft Entra ID. Si no se muestra esa opción, busque "active directory".

  3. En el menú, seleccione Registros de aplicaciones.

  4. Seleccione Nuevo registro.

  5. Escriba un nombre para la aplicación y seleccione Registrar.

    Captura de pantalla del registro de una aplicación.

  6. Copie en el Portapapeles y guarde el id. de aplicación (cliente) y el id. de directorio (inquilino).

  7. Creación del secreto de cliente para la aplicación:

    1. En el menú, vaya a Certificados y secretos.
    2. Cree una contraseña para que la aplicación demuestre su identidad al solicitar un token:
    3. Seleccione Nuevo secreto de cliente.
    4. Escriba una breve descripción, elija la hora de expiración del secreto y seleccione Agregar.

    Captura de pantalla de la creación de un secreto de cliente.

  8. Una vez creado el secreto, copie el identificador del secreto y guárdelo para usarlo posteriormente junto con el identificador de aplicación y el identificador de directorio (inquilino).

Paso 7: Para transmitir alertas a Splunk SIEM: permitir que Microsoft Entra ID lea desde el centro de eventos

  1. Vaya al espacio de nombres de Event Hubs que creó.

  2. En el menú, vaya a Control de acceso.

  3. Seleccione Agregar y seleccione Agregar asignación de roles.

  4. Seleccione Agregar asignación de roles.

    Captura de pantalla de la adición de una asignación de roles.

  5. En la pestaña Roles, busque Receptor de datos de Azure Event Hubs.

  6. Seleccione Next (Siguiente).

  7. Elija Seleccionar miembros.

  8. Busque la aplicación de Microsoft Entra que creó y selecciónela.

  9. Seleccione Cerrar.

Para seguir configurando la exportación de alertas, instale los conectores integrados para el SIEM que usa.