Menyiapkan sumber daya Azure untuk mengekspor ke Splunk dan QRadar
Untuk mengalirkan pemberitahuan keamanan Microsoft Defender untuk Cloud ke IBM QRadar dan Splunk, Anda harus menyiapkan sumber daya di Azure, seperti Event Hubs dan ID Microsoft Entra. Berikut adalah instruksi untuk mengonfigurasi sumber daya ini di portal Azure, tetapi Anda juga dapat mengonfigurasinya menggunakan skrip PowerShell. Pastikan Anda meninjau Mengalirkan pemberitahuan ke QRadar dan Splunk sebelum mengonfigurasi sumber daya Azure untuk mengekspor pemberitahuan ke QRadar dan Splunk.
Langkah untuk mengonfigurasi sumber daya Azure untuk QRadar dan Splunk di portal Azure:
Langkah 1: Membuat namespace layanan Event Hubs dan pusat aktivitas dengan izin kirim
Di layanan Azure Event Hubs, buat namespace layanan Azure Event Hubs:
- Pilih Buat.
- Masukkan detail namespace layanan, pilih Tinjau + buat, dan pilih Buat.
Membuat pusat aktivitas:
- Di namespace layanan yang Anda buat, pilih + Pusat Aktivitas.
- Masukkan detail pusat aktivitas, dan pilih Tinjau + buat, dan pilih Buat.
Buat kebijakan akses bersama.
- Di menu Pusat Aktivitas, pilih namespace layanan Azure Event Hubs yang Anda buat.
- Di menu namespace layanan Pusat Aktivitas, pilih Azure Event Hubs.
- Pilih pusat aktivitas yang baru saja Anda buat.
- Di menu pusat peristiwa, pilih Kebijakan akses bersama.
- Pilih Tambahkan, masukkan nama kebijakan yang unik, dan pilih Kirim.
- Pilih Buat untuk membuat kebijakan.
Langkah 2: Untuk streaming ke QRadar SIEM - Buat kebijakan Dengar
Pilih Tambahkan, masukkan nama kebijakan yang unik, dan pilih Dengar.
Pilih Buat untuk membuat kebijakan.
Setelah kebijakan dengar dibuat, salin Kunci primer string koneksi dan simpan untuk digunakan nanti.
Langkah 3: Buat grup konsumen, lalu salin dan simpan nama yang akan digunakan di platform SIEM
Di bagian Entitas dari menu pusat aktivitas Azure Event Hubs, pilih Azure Event Hubs dan pilih pusat aktivitas yang Anda buat.
Pilih Grup konsumen.
Langkah 4: Aktifkan ekspor berkelanjutan untuk cakupan pemberitahuan
Dalam kotak pencarian Azure, cari "policy" dan buka Policy.
Di menu Policy, pilih Definisi.
Cari "sebarkan ekspor" dan pilih sebarkan ekspor ke Azure Event Hub untuk kebijakan bawaan data Microsoft Defender untuk Cloud.
Pilih Tetapkan.
Tentukan opsi kebijakan dasar:
- Di Cakupan, pilih ... untuk memilih cakupan yang akan diterapkan kebijakan.
- Temukan grup manajemen akar (untuk cakupan penyewa), grup manajemen, langganan, atau grup sumber daya dalam cakupan dan pilih Pilih.
- Untuk memilih tingkat grup manajemen akar penyewa, Anda harus memiliki izin pada tingkat penyewa.
- (Opsional) Di Pengecualian, Anda dapat menentukan langganan tertentu untuk dikecualikan dari ekspor.
- Masukkan nama penugasan.
- Pastikan penegakan kebijakan diaktifkan.
Di parameter kebijakan:
- Masukkan grup sumber daya tempat sumber daya otomatisasi disimpan.
- Pilih lokasi grup sumber daya.
- Pilih ... di samping detail Pusat Aktivitas dan masukkan detail untuk hub peristiwa, termasuk:
- Langganan.
- Namespace layanan Azure Event Hubs yang Anda buat.
- Pusat aktivitas yang Anda buat.
- Di authorizationrules, pilih kebijakan akses bersama yang Anda buat untuk mengirim pemberitahuan.
Pilih Tinjau dan Buat dan Buat untuk menyelesaikan proses penentuan ekspor berkelanjutan ke Azure Event Hubs.
- Perhatikan bahwa ketika Anda mengaktifkan kebijakan ekspor berkelanjutan pada penyewa (tingkat grup manajemen akar), kebijakan tersebut secara otomatis mengalirkan pemberitahuan Anda pada semua langganan baru yang akan dibuat di bawah penyewa ini.
Langkah 5: Untuk pemberitahuan streaming ke QRadar SIEM - Buat akun penyimpanan
Buka portal Azure, pilih Buat sumber daya, dan pilih Akun penyimpanan. Jika opsi tersebut tidak ditampilkan, cari "akun penyimpanan".
Pilih Buat.
Masukkan detail untuk akun penyimpanan, pilih Tinjau dan Buat, lalu Buat.
Setelah Anda membuat akun penyimpanan dan masuk ke sumber daya, pilih Kunci Akses di menu.
Pilih Tampilkan kunci untuk melihat kunci, dan salin string koneksi Kunci 1.
Langkah 6: Untuk pemberitahuan streaming ke Splunk SIEM - Buat aplikasi Microsoft Entra
Di kotak pencarian menu, cari "ID Microsoft Entra" dan buka ID Microsoft Entra.
Buka portal Azure, pilih Buat sumber daya, dan pilih ID Microsoft Entra. Jika opsi tersebut tidak ditampilkan, cari "active directory".
Di menu, pilih Pendaftaran aplikasi.
Pilih Pendaftaran baru.
Masukkan nama unik untuk aplikasi dan pilih Daftar.
Salin ke Clipboard dan simpan ID Aplikasi (klien) dan ID Direktori (penyewa).
Membuat rahasia klien untuk aplikasi tersebut:
- Di menu, buka Sertifikat & rahasia.
- Buat kata sandi untuk aplikasi guna membuktikan identitasnya saat meminta token:
- Pilih Rahasia klien baru.
- Masukkan deskripsi singkat, pilih waktu kedaluwarsa rahasia, dan pilih Tambahkan.
Setelah rahasia dibuat, salin ID Rahasia dan simpan untuk digunakan nanti bersama dengan ID Aplikasi dan ID Direktori (penyewa).
Langkah 7: Untuk pemberitahuan streaming ke Splunk SIEM - Izinkan ID Microsoft Entra dibaca dari hub peristiwa
Buka namespace layanan Azure Event Hubs yang Anda buat.
Di menu, buka Kontrol akses.
Pilih Tambahkan dan pilih Tambahkan penetapan peran.
Pilih Tambahkan penetapan peran.
Di tab Peran, cari Penerima Data Azure Event Hubs.
Pilih Selanjutnya.
Pilih Pilih anggota.
Cari aplikasi Microsoft Entra yang Anda buat sebelumnya dan pilih aplikasi tersebut.
Pilih Tutup.
Untuk terus menyiapkan ekspor pemberitahuan, pasang konektor bawaan untuk SIEM yang Anda gunakan.