Splunk 및 QRadar로 내보내기 위한 Azure 리소스 준비

클라우드용 Microsoft Defender 보안 경고를 IBM QRadar 및 Splunk로 스트리밍하려면 Azure에서 Event Hubs 및 Microsoft Entra ID와 같은 리소스를 설정해야 합니다. 다음은 Azure Portal에서 이러한 리소스를 구성하는 지침이지만 PowerShell 스크립트를 사용하여 구성할 수도 있습니다. 경고를 QRadar 및 Splunk로 내보내기 위한 Azure 리소스를 구성하기 전에 QRadar 및 Splunk로 경고 스트리밍을 검토해야 합니다.

Azure Portal에서 QRadar 및 Splunk에 대한 Azure 리소스를 구성하려면 다음을 수행합니다.

1단계: 보내기 권한이 있는 Event Hubs 네임스페이스 및 Event Hubs 만들기

1. Event Hubs 서비스에서 Event Hubs 네임스페이스를 만듭니다.

   1. 만들기를 실행합니다.
   2. 네임스페이스의 세부 정보를 입력하고 검토 + 만들기를 선택한 다음, 만들기를 선택합니다.

   

2. 이벤트 허브 만들기:

   1. 만든 네임스페이스에서 + Event Hub를 선택합니다.
   2. 이벤트 허브의 세부 정보를 입력하고 검토 + 만들기를 선택하고 만들기를 선택합니다.

3. 공유 액세스 정책을 만듭니다.

   1. 이벤트 허브 메뉴에서 만든 Event Hubs 네임스페이스를 선택합니다.
   2. Event Hub 네임스페이스 메뉴에서 Event Hubs를 선택합니다.
   3. 방금 만든 이벤트 허브를 선택합니다.
   4. 이벤트 허브 메뉴에서 공유 액세스 정책을 선택합니다.
   5. 추가를 선택하고 고유한 정책 이름을 입력한 다음, 보내기를 선택합니다.
   6. 만들기를 선택하여 정책을 만듭니다.

2단계: QRadar SIEM으로 스트리밍하는 경우 - 수신 정책 만들기

1. 추가를 선택하고 고유한 정책 이름을 입력한 다음, 수신 대기를 선택합니다.

2. 만들기를 선택하여 정책을 만듭니다.

3. 수신 대기 정책을 만든 후 연결 문자열 기본 키를 복사하고 나중에 사용하도록 저장합니다.

   

3단계: 소비자 그룹을 만든 후 SIEM 플랫폼에서 사용할 이름을 복사하고 저장합니다.

1. Event Hubs 이벤트 허브 메뉴의 엔터티 섹션에서 Event Hubs를 선택하고 만든 이벤트 허브를 선택합니다.

   

2. 소비자 그룹을 선택합니다.

4단계: 경고 범위에 대한 연속 내보내기 사용

1. Azure 검색 상자에서 "정책"을 검색하고 정책으로 이동합니다.

2. 정책 메뉴에서 정의를 선택합니다.

3. "내보내기 배포"를 검색하고 클라우드용 Microsoft Defender 데이터용 Event Hub로 내보내기 배포 기본 제공 정책을 선택합니다.

4. 할당을 선택합니다.

5. 기본 정책 옵션을 정의합니다.

   1. 범위에서 ...를 선택하여 정책을 적용할 범위를 선택합니다.
   2. 범위에서 루트 관리 그룹(테넌트 범위), 관리 그룹, 구독 또는 리소스 그룹을 찾고 선택을 선택합니다.
      • 테넌트 루트 관리 그룹 수준을 선택하려면 테넌트 수준에 대한 권한이 있어야 합니다.
   3. (선택 사항) 제외에서 내보내기에서 제외할 특정 구독을 정의할 수 있습니다.
   4. 할당 이름을 입력합니다.
   5. 정책 적용이 사용하도록 설정되어 있는지 확인합니다.

   

6. 정책 매개 변수에서:

   1. 자동화 리소스가 저장되는 리소스 그룹을 입력합니다.
   2. 리소스 그룹 위치를 선택합니다.
   3. 이벤트 허브 세부 정보 옆에 있는 ...를 선택하고 다음을 포함하여 이벤트 허브에 대한 세부 정보를 입력합니다.
      • 구독.
      • 만든 Event Hubs 네임스페이스
      • 앞에서 만든 이벤트 허브입니다.
      • 권한 부여 규칙에서 경고를 보내기 위해 만든 공유 액세스 정책을 선택합니다.

   

7. 검토 및 만들기 및 만들기를 선택하여 Event Hubs로 연속 내보내기를 정의하는 프로세스를 완료합니다.

   • 테넌트(루트 관리 그룹 수준)에서 연속 내보내기 정책을 활성화하면 이 테넌트에서 생성될 새 구독에 대한 경고가 자동으로 스트리밍됩니다.

5단계: QRadar SIEM에 대한 스트리밍 경고의 경우 - 스토리지 계정 만들기

1. Azure Portal로 이동하여 리소스 만들기를 선택한 다음, 스토리지 계정을 선택합니다. 해당 옵션이 표시되지 않으면 "스토리지 계정"을 검색합니다.

2. 만들기를 실행합니다.

3. 스토리지 계정에 대한 세부 정보를 입력하고 검토 및 만들기를 선택한 다음, 만들기를 선택합니다.

   

4. 스토리지 계정을 만들고 리소스로 이동한 후 메뉴에서 액세스 키를 선택합니다.

5. 키 표시를 선택하여 키를 확인하고 키 1의 연결 문자열을 복사합니다.

   

6단계: Splunk SIEM으로 경고를 스트리밍하는 경우 - Microsoft Entra 애플리케이션 만들기

1. 메뉴 검색 상자에 "Microsoft Entra ID"를 검색하여 Microsoft Entra ID로 이동합니다.

2. Azure Portal로 이동하여 리소스 만들기를 선택하고 Microsoft Entra ID를 선택합니다. 해당 옵션이 표시되지 않으면 "active directory"를 검색합니다.

3. 메뉴에서 앱 등록을 선택합니다.

4. 새 등록을 선택합니다.

5. 애플리케이션의 고유한 이름을 입력하고 등록을 선택합니다.

   

6. 클립보드에 복사하고 애플리케이션(클라이언트) ID 및 디렉터리(테넌트) ID를 저장합니다.

7. 애플리케이션에 대한 클라이언트 암호 생성:

   1. 메뉴에서 인증서 및 비밀로 이동합니다.
   2. 토큰을 요청할 때 애플리케이션의 ID를 증명할 암호를 만듭니다.
   3. 새 클라이언트 비밀을 선택합니다.
   4. 간단한 설명을 입력하고 비밀의 만료 시간을 선택한 다음, 추가를 선택합니다.

   

8. 비밀이 만들어지면 비밀 ID를 복사하여 나중에 애플리케이션 ID 및 디렉터리(테넌트) ID와 함께 사용할 수 있도록 저장합니다.

7단계: Splunk SIEM으로 경고를 스트리밍하는 경우 - Microsoft Entra ID가 이벤트 허브에서 읽을 수 있도록 허용

1. 만든 Event Hubs 네임스페이스로 이동합니다.

2. 메뉴에서 액세스 제어로 이동합니다.

3. + 추가를 선택하고 역할 할당 추가를 선택합니다.

4. 역할 할당 추가를 선택합니다.

   

5. 역할 탭에서 Azure Event Hubs 데이터 받는 사람을 검색합니다.

6. 다음을 선택합니다.

7. 멤버 선택을 선택합니다.

8. 이전에 만든 Microsoft Entra 애플리케이션을 검색하여 선택합니다.

9. 닫기를 선택합니다.

경고 내보내기를 계속 설정하려면 사용 중인 SIEM에 대한 기본 제공 커넥터를 설치합니다.