Transmisión de alertas a una solución de administración de servicios de TI, SIEM o SOAR

  • Artículo

Microsoft Defender for Cloud puede transmitir las alertas de seguridad a las soluciones más populares de administración de eventos e información de seguridad (SIEM), respuesta automatizada de orquestación de seguridad (SOAR) y administración de servicios de TI (ITSM). Las alertas de seguridad son notificaciones que genera Defender for Cloud cuando detecta amenazas en los recursos. Defender for Cloud asigna prioridades y enumera las alertas, junto con la información necesaria para que pueda investigar rápidamente el problema. Defender for Cloud también proporciona los pasos detallados para ayudarlo a corregir los ataques. Las alertas se conservan durante 90 días.

Hay herramientas de Azure integradas para garantizar que puede ver los datos de las alertas de todas las soluciones más populares que se usan hoy en día, entre las que se incluyen:

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • QRadar de IBM
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

Transmisión de alertas a Microsoft Sentinel

Defender for Cloud se integra de forma nativa con Microsoft Sentinel, la solución SIEM y SOAR nativa de nube de Azure.

Más información sobre Microsoft Sentinel

Conectores de Microsoft Sentinel para Defender for Cloud

Microsoft Sentinel incluye conectores integrados para Defender for Cloud en los niveles de suscripción e inquilino:

Al conectar Defender for Cloud a Microsoft Sentinel, el estado de las alertas de Defender for Cloud que se ingieren en Microsoft Sentinel se sincroniza entre los dos servicios. Por ejemplo, cuando se cierra una alerta en Defender for Cloud, la alerta se muestra también como cerrada en Microsoft Sentinel. Si cambia el estado de una alerta en Defender for Cloud, también se actualiza en Microsoft Sentinel. Sin embargo, los estados de los incidentes de Microsoft Sentinel que contienen la alerta sincronizada de Microsoft Sentinel no se actualizan.

Puede habilitar la característica sincronización bidireccional de alertas para sincronizar automáticamente el estado de las alertas de Defender for Cloud originales con los incidentes de Microsoft Sentinel que contienen las copias de esas alertas de Defender for Cloud. Por ejemplo, cuando se cierra un incidente de Microsoft Sentinel que contiene una alerta de Defender for Cloud, Defender for Cloud cierra automáticamente la alerta original correspondiente.

Encontrará más información en Conexión de alertas desde Microsoft Defender for Cloud.

Nota:

La característica de sincronización de alertas bidireccional no está disponible en la nube de Azure Government.

Configuración de la ingesta de todos los registros de auditoría en Microsoft Sentinel

Otra alternativa para investigar las alertas de Defender for Cloud en Microsoft Sentinel es transmitir los registros de auditoría a Microsoft Sentinel:

Sugerencia

Microsoft Sentinel se factura en función del volumen de datos que ingiere para el análisis en Microsoft Sentinel y que almacena en el área de trabajo de Log Analytics de Azure Monitor. Microsoft Sentinel ofrece un modelo de precios flexible y predecible. Más información en la página de precios de Microsoft Sentinel

Transmisión de alertas a QRadar y Splunk

La exportación de alertas de seguridad a Splunk y QRadar usa Event Hubs y un conector integrado. Puede usar un script de PowerShell o Azure Portal para configurar los requisitos para exportar las alertas de seguridad de su suscripción o inquilino. A continuación, deberá usar el procedimiento específico de cada SIEM para instalar la solución en la plataforma de SIEM.

Requisitos previos

Antes de configurar los servicios de Azure para exportar alertas, asegúrese de que tiene lo siguiente:

  • Suscripción de Azure (cree una cuenta gratuita)
  • Grupo de recursos de Azure (cree un grupo de recursos)
  • Rol Propietario en el ámbito de las alertas (suscripción, grupo de administración o inquilino) o estos permisos específicos:
    • Permisos de escritura para Event Hubs y la directiva del centro de eventos
    • Crear permisos para aplicaciones de Microsoft Entra, si no usa una aplicación existente de Microsoft Entra
    • Asigne permisos para las directivas, si usa la directiva "DeployIfNotExist" de Azure Policy.

Paso 1: Configurar los servicios Azure

Puede configurar el entorno de Azure para admitir la exportación continua mediante:

  • Un script de PowerShell (recomendado)

    Descargue y ejecute el script de PowerShell. Escriba los parámetros necesarios y el script realizará automáticamente todos los pasos. Cuando finalice el script, genera la información que usará para instalar la solución en la plataforma de SIEM.

  • Azure Portal

    Esta es una introducción a los pasos que va a realizar en Azure Portal:

    1. Cree un espacio de nombres de Event Hubs y un centro de eventos.
    2. Defina una directiva para el centro de eventos con el permiso "Enviar".
    3. Si va a transmitir alertas a QRadar: cree una directiva de "escucha" del centro de eventos y, a continuación, copie y guarde la cadena de conexión de la directiva que va a usar en QRadar.
    4. Cree un grupo de consumidores y, a continuación, copie y guarde el nombre que va a usar en la plataforma de SIEM.
    5. Habilite la exportación continua de alertas de seguridad al centro de eventos definido.
    6. Si va a transmitir alertas a QRadar: cree una cuenta de almacenamiento y, a continuación, copie y guarde la cadena de conexión en la cuenta que va a usar en QRadar.
    7. Si va a transmitir alertas a Splunk:
      1. Crear una aplicación de Microsoft Entra.
      2. Guarde el inquilino, el identificador de aplicación y la contraseña de la aplicación.
      3. Conceda permisos a la aplicación Microsoft Entra para leer desde el centro de eventos que creó antes.

    Para obtener instrucciones más detalladas, consulte Preparación de los recursos de Azure para exportar a Splunk y QRadar.

Paso 2: Conecte el centro de eventos a su solución preferida mediante los conectores integrados

Cada plataforma de SIEM tiene una herramienta para permitir que reciba alertas de Azure Event Hubs. Instale la herramienta para que la plataforma empiece a recibir alertas.

Herramienta Hospedado en Azure Descripción
IBM QRadar No Los protocolos de Microsoft Azure DSM y Microsoft Azure Event Hubs se pueden descargar en el sitio web de soporte técnico de IBM.
Splunk No El complemento Splunk para Microsoft Cloud Services es un proyecto de código abierto disponible en Splunkbase.

Si no puede instalar un complemento en la instancia de Splunk (por ejemplo, si usa un proxy o si se ejecuta en Splunk Cloud), puede reenviar estos eventos al recopilador de eventos HTTP de Splunk mediante esta función de Azure para Splunk que desencadenan los nuevos mensajes del centro de eventos.

Transmisión de alertas con exportación continua

Para transmitir alertas a ArcSight, SumoLogic, servidores de Syslog, LogRhythm, Logz.io Cloud Observability Platform y otras soluciones de supervisión, conecte Defender for Cloud mediante la exportación continua y Azure Event Hubs:

Nota

Para transmitir alertas en el nivel de inquilino, use esta directiva de Azure y establezca el ámbito en el grupo de administración raíz. Necesitará permisos para el grupo de administración raíz, como se explica en Permisos de Defender for Cloud: implementación de la exportación en un centro de eventos para alertas y recomendaciones de Microsoft Defender for Cloud.

  1. Habilite la exportación continua para transmitir alertas de Defender for Cloud a una instancia dedicada de Azure Event Hubs en el nivel de suscripción. Para hacer esto en el nivel de grupo de administración mediante Azure Policy, consulte Configuración de la exportación continua a gran escala con las directivas proporcionadas.

  2. Conecte el centro de eventos a su solución preferida mediante los conectores integrados:

    Herramienta Hospedado en Azure Descripción
    sumologic No Las instrucciones para configurar SumoLogic para consumir datos de un centro de eventos están disponibles en Recopilación de registros para la aplicación de auditoría de Azure desde Event Hubs.
    ArcSight No El conector inteligente de Azure Event Hubs de ArcSight está disponible como parte de esta colección de conectores inteligentes de ArcSight.
    Servidor de Syslog No Si quiere transmitir datos de Azure Monitor directamente a un servidor syslog, puede usar una solución basada en una función de Azure.
    LogRhythm No Las instrucciones necesarias para configurar LogRhythm con el fin de recopilar registros de un centro de eventos están disponibles aquí.
    Logz.io Para más información, consulte Introducción a la supervisión y el registro con Logz.io para aplicaciones Java que se ejecutan en Azure.

  3. También puede transmitir los registros sin procesar al centro de eventos conectarse a su solución preferida. Obtenga más información en Datos de supervisión disponibles.

Para ver los esquemas de eventos de los tipos de datos exportados, consulte el artículo sobre los esquemas de eventos de Event Hubs.

Uso de la API de seguridad de Microsoft Graph para transmitir alertas a aplicaciones de terceros

Como alternativa a Microsoft Sentinel y Azure Monitor, puede usar la integración incorporada en Defender for Cloud con la API de seguridad de Microsoft Graph. No se requiere ninguna configuración.

Puede usar esta API para transmitir alertas del inquilino completo (y datos de muchos otros productos de seguridad de Microsoft) a SIEM de terceros y otras plataformas populares:

Nota:

La manera preferida de exportar alertas es exportar continuamente los datos de Microsoft Defender for Cloud.

Pasos siguientes

En esta página hemos descrito cómo garantizar que los datos de alerta de Microsoft Defender for Cloud están disponibles en la herramienta SIEM, SOAR o ITSM de su elección. Para obtener material relacionado, consulte: