Megosztás a következőn keresztül:

Azure-erőforrások előkészítése a Splunkba és a QRadarba való exportáláshoz

  • Cikk

Ahhoz, hogy Felhőhöz készült Microsoft Defender biztonsági riasztásokat streamelhessen az IBM QRadarba és a Splunkba, be kell állítania az azure-beli erőforrásokat, például az Event Hubsot és a Microsoft Entra ID-t. Az alábbiakban bemutatjuk, hogyan konfigurálhatja ezeket az erőforrásokat az Azure Portalon, de PowerShell-szkripttel is konfigurálhatja őket. Mielőtt konfigurálja az Azure-erőforrásokat a riasztások QRadarba és Splunkba való exportálásához, tekintse át a Stream-riasztásokat a QRadarba és a Splunkba.

A QRadar és a Splunk Azure-erőforrásainak konfigurálása az Azure Portalon:

1. lépés: Event Hubs-névtér és eseményközpont létrehozása küldési engedélyekkel

  1. Az Event Hubs szolgáltatásban hozzon létre egy Event Hubs-névteret:

    1. Válassza a Létrehozás lehetőséget.
    2. Adja meg a névtér részleteit, válassza a Véleményezés + létrehozás lehetőséget, majd a Létrehozás lehetőséget.

    Képernyőkép egy Event Hubs-névtér Microsoft Event Hubsban való létrehozásáról.

  2. Eseményközpont létrehozása:

    1. A létrehozott névtérben válassza a + Event Hub lehetőséget.
    2. Adja meg az eseményközpont részleteit, és válassza a Véleményezés + létrehozás lehetőséget, majd a Létrehozás lehetőséget.

  3. Hozzon létre egy megosztott hozzáférési szabályzatot.

    1. Az Event Hub menüben válassza ki a létrehozott Event Hubs-névteret.
    2. Az Event Hub névtér menüjében válassza az Event Hubs lehetőséget.
    3. Válassza ki az imént létrehozott eseményközpontot.
    4. Az eseményközpont menüjében válassza a Megosztott hozzáférési szabályzatok lehetőséget.
    5. Válassza a Hozzáadás lehetőséget, adjon meg egy egyedi házirendnevet, majd válassza a Küldés lehetőséget.
    6. A szabályzat létrehozásához válassza a Létrehozás lehetőséget. Képernyőkép megosztott szabályzat létrehozásáról a Microsoft Event Hubsban.

2. lépés: A QRadar SIEM-be való streameléshez – Figyelés szabályzat létrehozása

  1. Válassza a Hozzáadás lehetőséget, adjon meg egy egyedi szabályzatnevet, majd válassza a Figyelés lehetőséget.

  2. A szabályzat létrehozásához válassza a Létrehozás lehetőséget.

  3. A figyelőszabályzat létrehozása után másolja ki a kapcsolati sztring elsődleges kulcsát , és mentse későbbi használatra.

    Képernyőkép egy figyelésszabályzat létrehozásáról a Microsoft Event Hubsban.

3. lépés: Hozzon létre egy fogyasztói csoportot, majd másolja és mentse a SIEM platformon használni kívánt nevet

  1. Az Event Hubs eseményközpont menüjének Entitások szakaszában válassza az Event Hubs lehetőséget, és válassza ki a létrehozott eseményközpontot.

    Képernyőkép a Microsoft Event Hubs eseményközpont megnyitásáról.

  2. Válassza a Fogyasztói csoport lehetőséget.

4. lépés: Folyamatos exportálás engedélyezése a riasztások hatóköréhez

  1. Az Azure keresőmezőjében keressen rá a "szabályzat" kifejezésre, és nyissa meg a Szabályzatot.

  2. A Szabályzat menüben válassza a Definíciók lehetőséget.

  3. Keresse meg az "exportálás üzembe helyezése" kifejezést, és válassza az Exportálás telepítése az Event Hubba Felhőhöz készült Microsoft Defender beépített adatszabályzatot.

  4. Válassza a Hozzárendelés lehetőséget.

  5. Adja meg az alapvető házirend-beállításokat:

    1. A Hatókör területen válassza ki a ... lehetőséget a szabályzat alkalmazási hatókörének kiválasztásához.
    2. Keresse meg a gyökérszintű felügyeleti csoportot (bérlői hatókörhöz), felügyeleti csoportot, előfizetést vagy erőforráscsoportot a hatókörben, és válassza a Kiválasztás lehetőséget.
      • A bérlő gyökérszintű felügyeleti csoportszintjének kiválasztásához bérlői szintű engedélyekkel kell rendelkeznie.
    3. (Nem kötelező) A Kizárások területen megadhatja az exportálásból kizárandó előfizetéseket.
    4. Adjon meg egy hozzárendelésnevet.
    5. Győződjön meg arról, hogy a szabályzatkényszerítés engedélyezve van.

    Képernyőkép az exportálási szabályzat hozzárendeléséről.

  6. A szabályzat paramétereiben:

    1. Adja meg azt az erőforráscsoportot, amelyben az automatizálási erőforrás mentésre kerül.
    2. Válassza ki az erőforráscsoport helyét.
    3. Válassza ki a ... elemet az Eseményközpont adatai mellett, és adja meg az eseményközpont adatait, beleértve a következőket:
      • Előfizetés.
      • A létrehozott Event Hubs-névtér.
      • A létrehozott eseményközpont.
      • Az engedélyezési szabályokban válassza ki a riasztások küldéséhez létrehozott megosztott hozzáférési szabályzatot.

    Képernyőkép az exportálási szabályzat paramétereiről.

  7. Válassza a Véleményezés, a Létrehozás és létrehozás lehetőséget az Event Hubsba történő folyamatos exportálás meghatározásának folyamatának befejezéséhez.

    • Figyelje meg, hogy amikor a bérlőn (gyökérszintű felügyeleti csoport szintjén) aktiválja a folyamatos exportálási szabályzatot, az automatikusan streameli a riasztásokat a bérlő alatt létrehozott új előfizetésekre.

5. lépés: Riasztások streamelése a QRadar SIEM-be – Tárfiók létrehozása

  1. Lépjen az Azure Portalra, válassza az Erőforrás létrehozása, majd a Storage-fiók lehetőséget. Ha ez a beállítás nem jelenik meg, keressen rá a "tárfiók" kifejezésre.

  2. Válassza a Létrehozás lehetőséget.

  3. Adja meg a tárfiók adatait, válassza a Véleményezés és létrehozás, majd a Létrehozás lehetőséget.

    Képernyőkép a tárfiók létrehozásáról.

  4. Miután létrehozta a tárfiókot, és az erőforrásra lép, a menüben válassza a Hozzáférési kulcsok lehetőséget.

  5. A kulcsok megjelenítéséhez és az 1. kulcs kapcsolati sztring másolásához válassza a Kulcsok megjelenítése lehetőséget.

    Képernyőkép a tárfiókkulcs másolásáról.

6. lépés: A Splunk SIEM streamelési riasztásainak létrehozása – Microsoft Entra-alkalmazás létrehozása

  1. A menü keresőmezőjében keressen rá a "Microsoft Entra ID" kifejezésre, és lépjen a Microsoft Entra-azonosítóra.

  2. Nyissa meg az Azure Portalt, válassza az Erőforrás létrehozása, majd a Microsoft Entra-azonosító lehetőséget. Ha ez a beállítás nem jelenik meg, keressen rá az "active directory" kifejezésre.

  3. A menüben válassza a Alkalmazásregisztrációk.

  4. Új regisztráció kiválasztása.

  5. Adja meg az alkalmazás egyedi nevét, és válassza a Regisztráció lehetőséget.

    Képernyőkép az alkalmazás regisztrálásáról.

  6. Másolja a vágólapra, és mentse az alkalmazás (ügyfél) azonosítóját és a címtár (bérlő) azonosítóját.

  7. Hozza létre az alkalmazás titkos ügyfélkulcsát:

    1. A menüben válassza a Tanúsítványok > titkos kulcsok lehetőséget.
    2. Hozzon létre egy jelszót az alkalmazás számára, amely igazolja az identitását egy jogkivonat kérésekor:
    3. Válassza az Új titkos ügyfélkód lehetőséget.
    4. Adjon meg egy rövid leírást, válassza ki a titkos kód lejárati idejét, és válassza a Hozzáadás lehetőséget.

    Képernyőkép az ügyfél titkos kódjának létrehozásáról.

  8. A titkos kód létrehozása után másolja ki a titkos kód azonosítóját, és mentse későbbi használatra az alkalmazásazonosítóval és a címtár (bérlő) azonosítójával együtt.

7. lépés: A Splunk SIEM felé irányuló streamelési riasztások esetén – A Microsoft Entra ID olvasásának engedélyezése az eseményközpontból

  1. Nyissa meg a létrehozott Event Hubs-névteret.

  2. A menüben válassza a Hozzáférés-vezérlés lehetőséget.

  3. Válassza a Hozzáadás és a Szerepkör-hozzárendelés hozzáadása lehetőséget.

  4. Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.

    Képernyőkép egy szerepkör-hozzárendelés hozzáadásáról.

  5. A Szerepkörök lapon keresse meg az Azure Event Hubs adatátvevőt.

  6. Válassza a Tovább lehetőséget.

  7. Válassza a Tagok kijelölése lehetőséget.

  8. Keresse meg a korábban létrehozott Microsoft Entra-alkalmazást, és válassza ki.

  9. Válassza a Bezárás lehetőséget.

A riasztások exportálásának további beállításához telepítse a használt SIEM beépített összekötőit .