Azure-resources voorbereiden voor exporteren naar Splunk en QRadar

  • Artikel

Als u Microsoft Defender voor Cloud beveiligingswaarschuwingen wilt streamen naar IBM QRadar en Splunk, moet u resources instellen in Azure, zoals Event Hubs en Microsoft Entra ID. Hier volgen de instructies voor het configureren van deze resources in Azure Portal, maar u kunt ze ook configureren met behulp van een PowerShell-script. Zorg ervoor dat u Stream-waarschuwingen bekijkt voor QRadar en Splunk voordat u de Azure-resources configureert voor het exporteren van waarschuwingen naar QRadar en Splunk.

De Azure-resources configureren voor QRadar en Splunk in Azure Portal:

Stap 1: Een Event Hubs-naamruimte en Event Hub maken met verzendmachtigingen

  1. Maak in de Event Hubs-service een Event Hubs-naamruimte:

    1. Selecteer Maken.
    2. Voer de details van de naamruimte in, selecteer Beoordelen en maken en selecteer Maken.

    Screenshot of creating an Event Hubs namespace in Microsoft Event Hubs.

  2. Een Event Hub maken:

    1. Selecteer + Event Hub in de naamruimte die u maakt.
    2. Voer de details van de Event Hub in en selecteer Beoordelen en maken en selecteer Maken.

  3. Maak een beleid voor gedeelde toegang.

    1. Selecteer in het Event Hub-menu de Event Hubs-naamruimte die u hebt gemaakt.
    2. Selecteer Event Hubs in het menu Event Hub-naamruimte.
    3. Selecteer de Event Hub die u zojuist hebt gemaakt.
    4. Selecteer beleid voor gedeelde toegang in het event hub-menu.
    5. Selecteer Toevoegen, voer een unieke beleidsnaam in en selecteer Verzenden.
    6. Selecteer Maken om het beleid te maken. Screenshot of creating a shared policy in Microsoft Event Hubs.

Stap 2: Voor streaming naar QRadar SIEM - Een listen-beleid maken

  1. Selecteer Toevoegen, voer een unieke beleidsnaam in en selecteer Luisteren.

  2. Selecteer Maken om het beleid te maken.

  3. Nadat het listen-beleid is gemaakt, kopieert u de primaire sleutel van de Verbinding maken ion-tekenreeks en slaat u deze op voor later gebruik.

    Screenshot of creating a listen policy in Microsoft Event Hubs.

Stap 3: Maak een consumentengroep en kopieer en sla de naam op die moet worden gebruikt in het SIEM-platform

  1. Selecteer Event Hubs in de sectie Entiteiten van het event hubmenu van Event Hubs en selecteer de Event Hub die u hebt gemaakt.

    Screenshot of opening the event hub Microsoft Event Hubs.

  2. Selecteer Consumentengroep.

Stap 4: Continue export inschakelen voor het bereik van de waarschuwingen

  1. Zoek in het zoekvak van Azure naar beleid en ga naar het beleid.

  2. Selecteer Definities in het menu Beleid.

  3. Zoek naar 'export implementeren' en selecteer export implementeren naar Event Hub voor Microsoft Defender voor Cloud ingebouwd beleid voor gegevens.

  4. Selecteer Toewijzen.

  5. Definieer de basisbeleidsopties:

    1. Selecteer in Bereik de ... om het bereik te selecteren waarin u het beleid wilt toepassen.
    2. Zoek de hoofdbeheergroep (voor tenantbereik), beheergroep, abonnement of resourcegroep in het bereik en selecteer Selecteren.
      • Als u een niveau van de hoofdbeheergroep van de tenant wilt selecteren, moet u machtigingen hebben op tenantniveau.
    3. (Optioneel) In uitsluitingen kunt u specifieke abonnementen definiƫren die moeten worden uitgesloten van de export.
    4. Voer een opdrachtnaam in.
    5. Zorg ervoor dat het afdwingen van beleid is ingeschakeld.

    Screenshot of assignment for the export policy.

  6. In de beleidsparameters:

    1. Voer de resourcegroep in waarin de automatiseringsresource wordt opgeslagen.
    2. Selecteer de locatie van de resourcegroep.
    3. Selecteer de ... naast de Details van de Event Hub en voer de details voor de Event Hub in, waaronder:
      • Abonnement.
      • De Event Hubs-naamruimte die u hebt gemaakt.
      • De Event Hub die u hebt gemaakt.
      • Selecteer in autorisatieregels het beleid voor gedeelde toegang dat u hebt gemaakt om waarschuwingen te verzenden.

    Screenshot of parameters for the export policy.

  7. Selecteer Controleren en maken om het proces voor het definiƫren van de continue export naar Event Hubs te voltooien.

    • Wanneer u beleid voor continue export activeert op tenantniveau (hoofdbeheergroepniveau), worden uw waarschuwingen automatisch gestreamd voor elk nieuw abonnement dat wordt gemaakt onder deze tenant.

Stap 5: Voor streamingwaarschuwingen naar QRadar SIEM - Een opslagaccount maken

  1. Ga naar Azure Portal, selecteer Een resource maken en selecteer Opslagaccount. Als deze optie niet wordt weergegeven, zoekt u naar 'opslagaccount'.

  2. Selecteer Maken.

  3. Voer de details voor het opslagaccount in, selecteer Controleren en maken en vervolgens Maken.

    Screenshot of creating storage account.

  4. Nadat u uw opslagaccount hebt gemaakt en naar de resource hebt gegaan, selecteert u in het menu Toegangssleutels.

  5. Selecteer Sleutels weergeven om de sleutels te zien en kopieer de verbindingsreeks van Sleutel 1.

    Screenshot of copying storage account key.

Stap 6: Voor streamingwaarschuwingen naar Splunk SIEM - Een Microsoft Entra-toepassing maken

  1. Zoek in het zoekvak in het menu naar 'Microsoft Entra ID' en ga naar Microsoft Entra-id.

  2. Ga naar Azure Portal, selecteer Een resource maken en selecteer Microsoft Entra-id. Als deze optie niet wordt weergegeven, zoekt u naar 'active directory'.

  3. Selecteer App-registraties in het menu.

  4. Selecteer Nieuwe registratie.

  5. Voer een unieke naam in voor de toepassing en selecteer Registreren.

    Screenshot of registering application.

  6. Kopieer naar Klembord en sla de id van de toepassing (client) en de map-id (tenant) op.

  7. Maak het clientgeheim voor de toepassing:

    1. Ga in het menu naar Certificaten en geheimen.
    2. Maak een wachtwoord voor de toepassing om de identiteit te bewijzen bij het aanvragen van een token:
    3. Selecteer Nieuw clientgeheim.
    4. Voer een korte beschrijving in, kies de verlooptijd van het geheim en selecteer Toevoegen.

    Screenshot of creating client secret.

  8. Nadat het geheim is gemaakt, kopieert u de geheime id en slaat u deze op voor later gebruik, samen met de toepassings-id en map-id (tenant).

Stap 7: Voor streamingwaarschuwingen naar Splunk SIEM - Microsoft Entra-id toestaan om te lezen vanuit de Event Hub

  1. Ga naar de Event Hubs-naamruimte die u hebt gemaakt.

  2. Ga in het menu naar Toegangsbeheer.

  3. Selecteer Toevoegen en selecteer Roltoewijzing toevoegen.

  4. Selecteer Roltoewijzing toevoegen.

    Screenshot of adding a role assignment.

  5. Zoek op het tabblad Rollen naar Azure Event Hubs-gegevensontvanger.

  6. Selecteer Volgende.

  7. Selecteer Leden selecteren.

  8. Zoek de Microsoft Entra-toepassing die u eerder hebt gemaakt en selecteer deze.

  9. Selecteer Sluiten.

Als u wilt doorgaan met het instellen van export van waarschuwingen, installeert u de ingebouwde connectors voor de SIEM die u gebruikt.