Riasztások streamelése monitorozási megoldásokba

  • Cikk

Felhőhöz készült Microsoft Defender képes biztonsági riasztásokat streamelni különböző biztonsági információ- és eseménykezelési (SIEM), security orchestration automated Response (SOAR) és IT Service Management (ITSM) megoldásokba. Biztonsági riasztások jönnek létre, amikor fenyegetéseket észlelnek az erőforrásokon. Felhőhöz készült Defender rangsorolja és listázza a riasztásokat a Riasztások lapon, valamint a probléma gyors kivizsgálásához szükséges további információkat. A részletes lépések segítenek az észlelt fenyegetés elhárításában. A riasztások adatai 90 napig megmaradnak.

Vannak beépített Azure-eszközök, amelyek biztosítják, hogy a riasztási adatok az alábbi megoldásokban tekinthetők meg:

  • Microsoft Sentinel
  • Splunk Enterprise és Splunk Cloud
  • Power BI
  • ServiceNow
  • IBM QRadar
  • Palo Alto Networks
  • ArcSight

Riasztások streamelése a Defender XDR-be a Defender XDR API-val

Felhőhöz készült Defender natív integráció A Microsoft Defender XDR lehetővé teszi, hogy a Defender XDR incidensei és riasztási API-ja segítségével riasztásokat és incidenseket streameljen nem Microsoft-megoldásokba. Felhőhöz készült Defender ügyfelek egyetlen API-t érhetnek el az összes Microsoft biztonsági termékhez, és ezt az integrációt egyszerűbben használhatják riasztások és incidensek exportálására.

Megtudhatja, hogyan integrálhatja a SIEM-eszközöket a Defender XDR-sel.

Riasztások streamelése a Microsoft Sentinelnek

Felhőhöz készült Defender natív integráció A Microsoft Sentinel Azure natív felhőalapú SIEM- és SOAR-megoldása.

A Microsoft Sentinel összekötői Felhőhöz készült Defender

A Microsoft Sentinel beépített összekötőket tartalmaz Felhőhöz készült Microsoft Defender előfizetési és bérlői szinten.

A következőket teheti:

Amikor Felhőhöz készült Defender csatlakozik a Microsoft Sentinelhez, a rendszer szinkronizálja a microsoft sentinelbe betöltött Felhőhöz készült Defender riasztások állapotát a két szolgáltatás között. Ha például egy riasztás Felhőhöz készült Defender van bezárva, az a Microsoft Sentinelben is lezártként jelenik meg. Amikor módosítja egy riasztás állapotát Felhőhöz készült Defender, a Microsoft Sentinelben a riasztás állapota is frissül. A szinkronizált Microsoft Sentinel-riasztást tartalmazó Microsoft Sentinel-incidensek állapota azonban nem frissül.

Engedélyezheti, hogy a kétirányú riasztás-szinkronizálási funkció automatikusan szinkronizálja az eredeti Felhőhöz készült Defender riasztások állapotát a Felhőhöz készült Defender-riasztások másolatait tartalmazó Microsoft Sentinel-incidensekkel. Ha például egy Felhőhöz készült Defender riasztást tartalmazó Microsoft Sentinel-incidens bezárul, Felhőhöz készült Defender automatikusan bezárja a megfelelő eredeti riasztást.

Megtudhatja, hogyan csatlakoztathat riasztásokat Felhőhöz készült Microsoft Defender.

Feljegyzés

A kétirányú riasztás-szinkronizálási funkció nem érhető el az Azure Government-felhőben.

Az összes auditnapló betöltésének konfigurálása a Microsoft Sentinelbe

A Microsoft Sentinelben található Felhőhöz készült Defender riasztások vizsgálatának másik alternatíva, ha a naplókat a Microsoft Sentinelbe streameli:

Tipp.

A Microsoft Sentinel számlázása azon adatok mennyisége alapján történik, amelyeket a Microsoft Sentinelben való elemzéshez, valamint az Azure Monitor Log Analytics-munkaterületen tárol. A Microsoft Sentinel rugalmas és kiszámítható díjszabási modellt kínál. További információ a Microsoft Sentinel díjszabási oldalán.

Riasztások streamelése a QRadarba és a Splunkba

Ha biztonsági riasztásokat szeretne exportálni a Splunkba és a QRadarba, az Event Hubsot és egy beépített összekötőt kell használnia. PowerShell-szkripttel vagy az Azure Portallal beállíthatja az előfizetés vagy a bérlő biztonsági riasztásainak exportálására vonatkozó követelményeket. A követelmények teljesülése után az egyes SIEM-ekre vonatkozó eljárást kell használnia a megoldás SIEM platformon való telepítéséhez.

Előfeltételek

Mielőtt beállítja az Azure-szolgáltatásokat a riasztások exportálásához, győződjön meg arról, hogy rendelkezik a következő szolgáltatásokkal:

  • Azure-előfizetés (ingyenes fiók létrehozása)
  • Azure-erőforráscsoport (Erőforráscsoport létrehozása)
  • Tulajdonosi szerepkör a riasztások hatókörében (előfizetés, felügyeleti csoport vagy bérlő), vagy ezek a konkrét engedélyek:
    • Írási engedélyek az eseményközpontokhoz és az Event Hubs-szabályzathoz
    • Engedélyek létrehozása Microsoft Entra-alkalmazásokhoz, ha nem használ meglévő Microsoft Entra-alkalmazást
    • Engedélyek hozzárendelése szabályzatokhoz, ha az Azure Policy "DeployIfNotExist" szolgáltatást használja

Az Azure-szolgáltatások beállítása

Az Azure-környezetet a folyamatos exportálás támogatásához a következő eszközökkel állíthatja be:

  1. Töltse le és futtassa a PowerShell-szkriptet.

  2. Adja meg a szükséges paramétereket.

  3. Futtassa a szkriptet.

A szkript végrehajtja az összes lépést. Amikor a szkript befejeződött, a kimenettel telepítse a megoldást a SIEM platformon.

Azure Portal

  1. Jelentkezzen be az Azure Portalra.

  2. Keresse meg és válassza ki a Event Hubs elemet.

  3. Hozzon létre egy Event Hubs-névteret és eseményközpontot.

  4. Adjon meg egy szabályzatot az eseményközponthoz engedélyekkel Send .

Ha riasztásokat küld a QRadarnak:

  1. Eseményközpont-szabályzat Listen létrehozása.

  2. Másolja és mentse a QRadarban használni kívánt szabályzat kapcsolati sztring.

  3. Hozzon létre egy fogyasztói csoportot.

  4. Másolja és mentse a SIEM platformon használni kívánt nevet.

  5. A biztonsági riasztások folyamatos exportálásának engedélyezése a megadott eseményközpontba.

  6. Hozzon létre egy tárfiókot.

  7. Másolja és mentse a kapcsolati sztring a QRadarban használni kívánt fiókba.

Részletesebb útmutatásért lásd: Azure-erőforrások előkészítése a Splunkba és a QRadarba való exportáláshoz.

Ha riasztásokat streamel a Splunkba:

  1. Microsoft Entra-alkalmazás létrehozása.

  2. Mentse a bérlőt, az alkalmazásazonosítót és az alkalmazásjelszót.

  3. Adjon engedélyeket a Microsoft Entra-alkalmazásnak a korábban létrehozott eseményközpontból való olvasáshoz.

Részletesebb útmutatásért lásd: Azure-erőforrások előkészítése a Splunkba és a QRadarba való exportáláshoz.

Csatlakozás az eseményközpontot az előnyben részesített megoldáshoz a beépített összekötőkkel

Minden SIEM-platform rendelkezik egy eszközzel, amely lehetővé teszi a riasztások fogadását az Azure Event Hubstól. Telepítse a platform eszközét a riasztások fogadásához.

Eszköz Az Azure-ban üzemeltetve Leírás
IBM QRadar Nem A Microsoft Azure DSM és a Microsoft Azure Event Hubs Protocol letölthető az IBM támogatási webhelyéről.
Splunk Nem A Microsoft Cloud Services Splunk bővítménye egy nyílt forráskód Splunkbase-ben elérhető projekt.

Ha nem tud bővítményt telepíteni a Splunk-példányban, például ha proxyt használ, vagy a Splunk Cloudon fut, ezeket az eseményeket továbbíthatja a Splunk HTTP-eseménygyűjtőnek az Azure Function For Splunk használatával, amelyet az eseményközpont új üzenetei aktiválnak.

Riasztások streamelése folyamatos exportálással

Ha riasztásokat szeretne streamelni az ArcSightba, a SumoLogicba, a Syslog-kiszolgálókba, a LogRhythmbe, a Logz.io Cloud Observability Platformba és más monitorozási megoldásokba, csatlakoztassa a Felhőhöz készült Defender a folyamatos exportálás és az Azure Event Hubs használatával.

Feljegyzés

A riasztások bérlői szintű streameléséhez használja ezt az Azure-szabályzatot, és állítsa be a hatókört a gyökérszintű felügyeleti csoportban. A gyökérszintű felügyeleti csoport engedélyére lesz szüksége az Felhőhöz készült Defender engedélyekben leírtak szerint: Exportálás üzembe helyezése eseményközpontba Felhőhöz készült Microsoft Defender riasztásokhoz és javaslatokhoz.

Riasztások folyamatos exportálással történő streamelése:

  1. Folyamatos exportálás engedélyezése:

  2. Csatlakozás az eseményközpontot az előnyben részesített megoldáshoz a beépített összekötőkkel:

    Eszköz Az Azure-ban üzemeltetve Leírás
    SumoLogic Nem A SumoLogic eseményközpontból származó adatok felhasználására való beállítására vonatkozó utasítások az Azure Audit app naplóinak összegyűjtése az Event Hubsból című témakörben érhetők el.
    ArcSight Nem Az ArcSight Azure Event Hubs intelligens összekötője az ArcSight intelligens összekötőgyűjtemény részeként érhető el.
    Syslog-kiszolgáló Nem Ha közvetlenül egy syslog-kiszolgálóra szeretné streamelni az Azure Monitor-adatokat, egy Azure-függvényen alapuló megoldást használhat.
    LogRhythm Nem Itt talál útmutatást a LogRhythm eseményközpontból származó naplók gyűjtésére való beállításához.
    Logz.io Igen További információ: Első lépések az Azure-ban futó Java-alkalmazások Logz.io használatával történő monitorozással és naplózással kapcsolatban

  3. (Nem kötelező) Streamelje a nyers naplókat az eseményközpontba, és csatlakozzon az előnyben részesített megoldáshoz. További információ az elérhető adatok figyelésében.

Az exportált adattípusok eseménysémáinak megtekintéséhez látogasson el az Event Hubs eseménysémáira.

A Microsoft Graph Biztonsági API használatával riasztásokat streamelhet nem Microsoft-alkalmazásokba

Felhőhöz készült Defender beépített integrációja A Microsoft Graph további konfigurációs követelmények nélkül Biztonsági API.

Ezzel az API-val riasztásokat streamelhet a teljes bérlőről (és számos Microsoft Security-termékből származó adatokat) nem Microsoft SIEM-ekre és más népszerű platformokra:

Feljegyzés

A riasztások exportálásának elsődleges módja Felhőhöz készült Microsoft Defender adatok folyamatos exportálása.

Következő lépések

Ez a lap azt ismertette, hogyan biztosíthatja, hogy a Felhőhöz készült Microsoft Defender riasztási adatok elérhetők legyenek a SIEM, a SOAR vagy az ITSM tetszőleges eszközében. A kapcsolódó anyagokért lásd: