Waarschuwingen streamen naar bewakingsoplossingen

  • Artikel

Microsoft Defender voor Cloud heeft de mogelijkheid om beveiligingswaarschuwingen te streamen naar verschillende SIEM-oplossingen (Security Information and Event Management), Security Orchestration Automated Response (SOAR) en ITSM-oplossingen (IT Service Management). Beveiligingswaarschuwingen worden gegenereerd wanneer bedreigingen worden gedetecteerd op uw resources. Defender voor Cloud prioriteit geeft aan en vermeldt de waarschuwingen op de pagina Waarschuwingen, samen met aanvullende informatie die nodig is om het probleem snel te onderzoeken. Er worden gedetailleerde stappen gegeven om u te helpen de gedetecteerde bedreiging te verhelpen. Alle waarschuwingsgegevens worden 90 dagen bewaard.

Er zijn ingebouwde Azure-hulpprogramma's beschikbaar die ervoor zorgen dat u uw waarschuwingsgegevens in de volgende oplossingen kunt bekijken:

  • Microsoft Sentinel
  • Splunk Enterprise en Splunk Cloud
  • Power BI
  • ServiceNow
  • QRadar van IBM
  • Palo Alto Networks
  • ArcSight

Waarschuwingen streamen naar Defender XDR met de Defender XDR-API

Defender voor Cloud is systeemeigen geïntegreerd met Met Microsoft Defender XDR kunt u de API voor incidenten en waarschuwingen van Defender XDR gebruiken om waarschuwingen en incidenten te streamen naar niet-Microsoft-oplossingen. Defender voor Cloud klanten toegang hebben tot één API voor alle Microsoft-beveiligingsproducten en deze integratie kunnen gebruiken als een eenvoudigere manier om waarschuwingen en incidenten te exporteren.

Meer informatie over het integreren van SIEM-hulpprogramma's met Defender XDR.

Waarschuwingen streamen naar Microsoft Sentinel

Defender voor Cloud is systeemeigen geïntegreerd met De cloudeigen SIEM- en SOAR-oplossing van Microsoft Sentinel Azure.

Microsoft Sentinel-connectors voor Defender voor Cloud

Microsoft Sentinel bevat ingebouwde connectors voor Microsoft Defender voor Cloud op abonnements- en tenantniveau.

U kunt:

Wanneer u Defender voor Cloud verbindt met Microsoft Sentinel, wordt de status van Defender voor Cloud waarschuwingen die worden opgenomen in Microsoft Sentinel gesynchroniseerd tussen de twee services. Wanneer een waarschuwing bijvoorbeeld wordt gesloten in Defender voor Cloud, wordt die waarschuwing ook weergegeven als gesloten in Microsoft Sentinel. Wanneer u de status van een waarschuwing in Defender voor Cloud wijzigt, wordt de status van de waarschuwing in Microsoft Sentinel ook bijgewerkt. De statussen van Microsoft Sentinel-incidenten die de gesynchroniseerde Microsoft Sentinel-waarschuwing bevatten, worden echter niet bijgewerkt.

U kunt de bidirectionele waarschuwingssynchronisatiefunctie inschakelen om automatisch de status van de oorspronkelijke Defender voor Cloud waarschuwingen te synchroniseren met Microsoft Sentinel-incidenten die de kopieën van de Defender voor Cloud-waarschuwingen bevatten. Wanneer bijvoorbeeld een Microsoft Sentinel-incident met een Defender voor Cloud waarschuwing wordt gesloten, Defender voor Cloud automatisch de bijbehorende oorspronkelijke waarschuwing sluit.

Meer informatie over het verbinden van waarschuwingen vanuit Microsoft Defender voor Cloud.

Notitie

De bidirectionele waarschuwingssynchronisatiefunctie is niet beschikbaar in de Azure Government-cloud.

Opname van alle auditlogboeken configureren in Microsoft Sentinel

Een ander alternatief voor het onderzoeken van Defender voor Cloud waarschuwingen in Microsoft Sentinel is het streamen van uw auditlogboeken naar Microsoft Sentinel:

Tip

Microsoft Sentinel wordt gefactureerd op basis van het gegevensvolume dat wordt opgenomen voor analyse in Microsoft Sentinel en wordt opgeslagen in de Azure Monitor Log Analytics-werkruimte. Microsoft Sentinel biedt een flexibel en voorspelbaar prijsmodel. Meer informatie vindt u op de pagina met prijzen van Microsoft Sentinel.

Waarschuwingen streamen naar QRadar en Splunk

Als u beveiligingswaarschuwingen wilt exporteren naar Splunk en QRadar, moet u Event Hubs en een ingebouwde connector gebruiken. U kunt een PowerShell-script of Azure Portal gebruiken om de vereisten in te stellen voor het exporteren van beveiligingswaarschuwingen voor uw abonnement of tenant. Zodra de vereisten zijn ingesteld, moet u de procedure gebruiken die specifiek is voor elke SIEM om de oplossing in het SIEM-platform te installeren.

Vereisten

Voordat u de Azure-services instelt voor het exporteren van waarschuwingen, moet u het volgende doen:

  • Azure-abonnement (een gratis account maken)
  • Azure-resourcegroep (een resourcegroep maken)
  • De rol Eigenaar van het waarschuwingenbereik (abonnement, beheergroep of tenant) of deze specifieke machtigingen:
    • Schrijfmachtigingen voor Event Hubs en het Event Hubs-beleid
    • Maak machtigingen voor Microsoft Entra-toepassingen als u geen bestaande Microsoft Entra-toepassing gebruikt
    • Machtigingen toewijzen voor beleid als u Azure Policy DeployIfNotExist gebruikt

De Azure-services instellen

U kunt uw Azure-omgeving instellen ter ondersteuning van continue export met behulp van:

  1. Download en voer het PowerShell-script uit.

  2. Voer de vereiste parameters in.

  3. Voer het script uit.

Het script voert alle stappen voor u uit. Wanneer het script is voltooid, gebruikt u de uitvoer om de oplossing in het SIEM-platform te installeren.

Azure Portal

  1. Meld u aan bij het Azure-portaal.

  2. Zoek en selecteer Event Hubs.

  3. Maak een Event Hubs-naamruimte en Event Hub.

  4. Definieer een beleid voor de Event Hub met Send machtigingen.

Als u streamingwaarschuwingen naar QRadar uitvoert:

  1. Maak een Event Hub-beleid Listen .

  2. Kopieer en sla de verbindingsreeks van het beleid op dat moet worden gebruikt in QRadar.

  3. Maak een consumentengroep.

  4. Kopieer en sla de naam op die moet worden gebruikt in het SIEM-platform.

  5. Schakel continue export van beveiligingswaarschuwingen naar de gedefinieerde Event Hub in.

  6. Een opslagaccount maken.

  7. Kopieer en sla de verbindingsreeks op in het account dat u wilt gebruiken in QRadar.

Zie Azure-resources voorbereiden voor het exporteren naar Splunk en QRadar voor meer gedetailleerde instructies.

Als u streamingwaarschuwingen naar Splunk uitvoert:

  1. Maak een Microsoft Entra-toepassing.

  2. Sla de tenant, app-id en het app-wachtwoord op.

  3. Geef machtigingen aan de Microsoft Entra-toepassing om te lezen uit de Event Hub die u eerder hebt gemaakt.

Zie Azure-resources voorbereiden voor het exporteren naar Splunk en QRadar voor meer gedetailleerde instructies.

Verbinding maken de Event Hub naar uw voorkeursoplossing met behulp van de ingebouwde connectors

Elk SIEM-platform heeft een hulpprogramma waarmee het waarschuwingen van Azure Event Hubs kan ontvangen. Installeer het hulpprogramma voor uw platform om waarschuwingen te ontvangen.

Hulpprogramma Gehost in Azure Beschrijving
IBM QRadar Nee Microsoft Azure DSM en Microsoft Azure Event Hubs Protocol zijn beschikbaar om te downloaden via de ondersteuningswebsite van IBM.
Splunk Nee Splunk-invoegtoepassing voor Microsoft Cloud Services is een opensource-project dat beschikbaar is in Splunkbase.

Als u een invoegtoepassing niet kunt installeren in uw Splunk-exemplaar, bijvoorbeeld als u een proxy gebruikt of op Splunk Cloud uitvoert, kunt u deze gebeurtenissen doorsturen naar de Splunk HTTP-gebeurtenisverzamelaar met behulp van Azure Function for Splunk, die wordt geactiveerd door nieuwe berichten in de Event Hub.

Waarschuwingen streamen met continue export

Als u waarschuwingen wilt streamen naar ArcSight, SumoLogic, Syslog-servers, LogRhythm, Logz.io Cloud Observability Platform en andere bewakingsoplossingen, verbindt u Defender voor Cloud met behulp van continue export en Azure Event Hubs.

Notitie

Als u waarschuwingen op tenantniveau wilt streamen, gebruikt u dit Azure-beleid en stelt u het bereik in op de hoofdbeheergroep. U hebt machtigingen nodig voor de hoofdbeheergroep, zoals wordt uitgelegd in Defender voor Cloud machtigingen: Export implementeren naar een Event Hub voor Microsoft Defender voor Cloud waarschuwingen en aanbevelingen.

Waarschuwingen streamen met continue export:

  1. Continue export inschakelen:

  2. Verbinding maken de Event Hub naar uw voorkeursoplossing met behulp van de ingebouwde connectors:

    Hulpprogramma Gehost in Azure Beschrijving
    SumoLogic Nee Instructies voor het instellen van SumoLogic om gegevens van een Event Hub te gebruiken, zijn beschikbaar via Logboeken verzamelen voor de Azure Audit-app van Event Hubs.
    ArcSight Nee De slimme connector van ArcSight Azure Event Hubs is beschikbaar als onderdeel van de verzameling slimme ArcSight-connectors.
    Syslog-server Nee Als u Azure Monitor-gegevens rechtstreeks naar een syslog-server wilt streamen, kunt u een oplossing gebruiken op basis van een Azure-functie.
    LogRhythm Nee Instructies voor het instellen van LogRhythm voor het verzamelen van logboeken van een Event Hub zijn hier beschikbaar.
    Logz.io Ja Zie Aan de slag met bewaking en logboekregistratie met behulp van Logz.io voor Java-apps die worden uitgevoerd in Azure voor meer informatie

  3. (Optioneel) Stream de onbewerkte logboeken naar de Event Hub en maak verbinding met uw voorkeursoplossing. Meer informatie over de beschikbare bewakingsgegevens.

Als u de gebeurtenisschema's van de geëxporteerde gegevenstypen wilt bekijken, gaat u naar de Event Hubs-gebeurtenisschema's.

De Microsoft Graph-beveiligings-API gebruiken om waarschuwingen te streamen naar niet-Microsoft-toepassingen

ingebouwde integratie van Defender voor Cloud met Microsoft Graph beveiligings-API zonder verdere configuratievereisten.

U kunt deze API gebruiken om waarschuwingen van uw hele tenant (en gegevens van veel Microsoft-beveiligingsproducten) te streamen naar niet-Microsoft SIEM's en andere populaire platforms:

Notitie

De voorkeursmethode voor het exporteren van waarschuwingen is door continu Microsoft Defender voor Cloud gegevens te exporteren.

Volgende stappen

Op deze pagina wordt uitgelegd hoe u ervoor kunt zorgen dat uw Microsoft Defender voor Cloud waarschuwingsgegevens beschikbaar zijn in uw SIEM-, SOAR- of ITSM-hulpprogramma van keuze. Zie voor gerelateerd materiaal: