Przesyłanie strumieniowe alertów do rozwiązań do monitorowania

Microsoft Defender dla Chmury ma możliwość przesyłania alertów zabezpieczeń do różnych rozwiązań do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), automatycznego reagowania orkiestracji zabezpieczeń (SOAR) i zarządzania usługami IT (ITSM). Alerty zabezpieczeń są generowane po wykryciu zagrożeń w zasobach. Defender dla Chmury priorytetyzuje i wyświetla alerty na stronie Alerty wraz z dodatkowymi informacjami potrzebnymi do szybkiego zbadania problemu. Szczegółowe instrukcje ułatwiają korygowanie wykrytego zagrożenia. Wszystkie dane alertów są przechowywane przez 90 dni.

Dostępne są wbudowane narzędzia platformy Azure, które zapewniają możliwość wyświetlania danych alertów w następujących rozwiązaniach:

• Microsoft Sentinel
• Splunk Enterprise and Splunk Cloud
• Power BI
• ServiceNow
• QRadar IBM
• Palo Alto Networks
• ArcSight

Przesyłanie strumieniowe alertów do usługi Defender XDR przy użyciu interfejsu API XDR usługi Defender

Defender dla Chmury natywnie integruje się z Usługa Microsoft Defender XDR umożliwia używanie interfejsu API zdarzeń i alertów usługi Defender XDR do przesyłania strumieniowego alertów i zdarzeń do rozwiązań innych niż Microsoft. Defender dla Chmury klienci mogą uzyskać dostęp do jednego interfejsu API dla wszystkich produktów zabezpieczeń firmy Microsoft i mogą używać tej integracji jako łatwiejszego sposobu eksportowania alertów i zdarzeń.

Dowiedz się, jak zintegrować narzędzia SIEM z usługą Defender XDR.

Przesyłanie strumieniowe alertów do usługi Microsoft Sentinel

Defender dla Chmury natywnie integruje się z Natywne dla chmury rozwiązanie SIEM i SOAR platformy Microsoft Sentinel platformy Azure.

Łączniki usługi Microsoft Sentinel dla Defender dla Chmury

Usługa Microsoft Sentinel zawiera wbudowane łączniki dla Microsoft Defender dla Chmury na poziomie subskrypcji i dzierżawy.

Masz następujące możliwości:

• Przesyłanie strumieniowe alertów do usługi Microsoft Sentinel na poziomie subskrypcji.
• Połączenie wszystkich subskrypcji w dzierżawie do usługi Microsoft Sentinel.

Po nawiązaniu połączenia Defender dla Chmury z usługą Microsoft Sentinel stan alertów Defender dla Chmury pozyskanych do usługi Microsoft Sentinel jest synchronizowany między dwiema usługami. Na przykład po zamknięciu alertu w Defender dla Chmury ten alert jest również wyświetlany jako zamknięty w usłudze Microsoft Sentinel. Po zmianie stanu alertu w Defender dla Chmury stan alertu w usłudze Microsoft Sentinel jest również aktualizowany. Jednak stany zdarzeń usługi Microsoft Sentinel, które zawierają zsynchronizowany alert usługi Microsoft Sentinel, nie są aktualizowane.

Możesz włączyć funkcję synchronizacji alertów dwukierunkowych, aby automatycznie synchronizować stan oryginalnych alertów Defender dla Chmury z incydentami usługi Microsoft Sentinel zawierającymi kopie alertów Defender dla Chmury. Na przykład po zamknięciu zdarzenia usługi Microsoft Sentinel zawierającego alert Defender dla Chmury Defender dla Chmury automatycznie zamyka odpowiedni oryginalny alert.

Dowiedz się, jak połączyć alerty z Microsoft Defender dla Chmury.

Uwaga

Funkcja synchronizacji alertów dwukierunkowych nie jest dostępna w chmurze Azure Government.

Konfigurowanie pozyskiwania wszystkich dzienników inspekcji w usłudze Microsoft Sentinel

Inną alternatywą do badania alertów Defender dla Chmury w usłudze Microsoft Sentinel jest przesyłanie strumieniowe dzienników inspekcji do usługi Microsoft Sentinel:

• Połączenie zdarzenia zabezpieczeń systemu Windows
• Zbieranie danych ze źródeł opartych na systemie Linux przy użyciu usługi Syslog
• Połączenie danych z dziennika aktywności platformy Azure

Napiwek

Opłaty za usługę Microsoft Sentinel są naliczane na podstawie ilości danych pozyskanych do analizy w usłudze Microsoft Sentinel i przechowywanych w obszarze roboczym usługi Log Analytics usługi Azure Monitor. Usługa Microsoft Sentinel oferuje elastyczny i przewidywalny model cen. Dowiedz się więcej na stronie cennika usługi Microsoft Sentinel.

Przesyłanie strumieniowe alertów do usług QRadar i Splunk

Aby wyeksportować alerty zabezpieczeń do rozwiązania Splunk i QRadar, należy użyć usługi Event Hubs i wbudowanego łącznika. Możesz użyć skryptu programu PowerShell lub witryny Azure Portal, aby skonfigurować wymagania dotyczące eksportowania alertów zabezpieczeń dla subskrypcji lub dzierżawy. Po wprowadzeniu wymagań należy użyć procedury specyficznej dla każdego rozwiązania SIEM, aby zainstalować rozwiązanie na platformie SIEM.

Wymagania wstępne

Przed skonfigurowaniem usług platformy Azure na potrzeby eksportowania alertów upewnij się, że:

• Subskrypcja platformy Azure (tworzenie bezpłatnego konta)
• Grupa zasobów platformy Azure (tworzenie grupy zasobów)
• Rola właściciela w zakresie alertów (subskrypcja, grupa zarządzania lub dzierżawa) lub te określone uprawnienia:
  • Uprawnienia do zapisu dla centrów zdarzeń i zasad usługi Event Hubs
  • Tworzenie uprawnień dla aplikacji Firmy Microsoft Entra, jeśli nie używasz istniejącej aplikacji Firmy Microsoft Entra
  • Przypisz uprawnienia zasad, jeśli używasz usługi Azure Policy "DeployIfNotExist"

Konfigurowanie usług platformy Azure

Środowisko platformy Azure można skonfigurować tak, aby obsługiwało eksport ciągły przy użyciu jednego z następujących elementów:

Skrypt programu PowerShell (zalecane)

1. Pobierz i uruchom skrypt programu PowerShell.

2. Wprowadź wymagane parametry.

3. Uruchom skrypt.

Skrypt wykonuje wszystkie kroki. Po zakończeniu działania skryptu użyj danych wyjściowych, aby zainstalować rozwiązanie na platformie SIEM.

Azure Portal

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Event Hubs.

3. Utwórz przestrzeń nazw usługi Event Hubs i centrum zdarzeń.

4. Zdefiniuj zasady dla centrum zdarzeń z uprawnieniami Send .

Jeśli przesyłasz strumieniowo alerty do usługi QRadar:

1. Utwórz zasady centrum Listen zdarzeń.

2. Skopiuj i zapisz parametry połączenia zasad do użycia w narzędziu QRadar.

3. Utwórz grupę odbiorców.

4. Skopiuj i zapisz nazwę do użycia na platformie SIEM.

5. Włącz ciągły eksport alertów zabezpieczeń do zdefiniowanego centrum zdarzeń.

6. Create a storage account (Tworzenie konta magazynu).

7. Skopiuj i zapisz parametry połączenia na koncie do użycia w narzędziu QRadar.

Aby uzyskać bardziej szczegółowe instrukcje, zobacz Przygotowywanie zasobów platformy Azure do eksportowania do rozwiązania Splunk i QRadar.

Jeśli przesyłasz strumieniowo alerty do rozwiązania Splunk:

1. Utwórz aplikację Firmy Microsoft Entra.

2. Zapisz hasło dzierżawy, identyfikatora aplikacji i aplikacji.

3. Nadaj aplikacji Microsoft Entra uprawnienia do odczytu z utworzonego wcześniej centrum zdarzeń.

Aby uzyskać bardziej szczegółowe instrukcje, zobacz Przygotowywanie zasobów platformy Azure do eksportowania do rozwiązania Splunk i QRadar.

Połączenie centrum zdarzeń do preferowanego rozwiązania przy użyciu wbudowanych łączników

Każda platforma SIEM ma narzędzie umożliwiające odbieranie alertów z usługi Azure Event Hubs. Zainstaluj narzędzie dla platformy, aby rozpocząć odbieranie alertów.

Narzędzie	Hostowane na platformie Azure	opis
IBM QRadar	Nie.	Microsoft Azure DSM i Microsoft Azure Event Hubs Protocol są dostępne do pobrania ze strony internetowej pomocy technicznej IBM.
Splunk	Nie.	Dodatek Splunk dla usług Microsoft Cloud Services to projekt typu open source dostępny w technologii Splunkbase. Jeśli nie możesz zainstalować dodatku w wystąpieniu rozwiązania Splunk, na przykład jeśli używasz serwera proxy lub działasz w chmurze Splunk, możesz przekazać te zdarzenia do modułu zbierającego zdarzenia HTTP splunk przy użyciu funkcji platformy Azure for Splunk, która jest wyzwalana przez nowe komunikaty w centrum zdarzeń.

Przesyłanie strumieniowe alertów za pomocą eksportu ciągłego

Aby przesyłać strumieniowo alerty do usługi ArcSight, SumoLogic, serwerów syslog, LogRhythm, platformy Logz.io Cloud Observability Platform i innych rozwiązań do monitorowania, połącz Defender dla Chmury przy użyciu eksportu ciągłego i usługi Azure Event Hubs.

Uwaga

Aby przesyłać strumieniowo alerty na poziomie dzierżawy, użyj tych zasad platformy Azure i ustaw zakres w głównej grupie zarządzania. Musisz mieć uprawnienia dla głównej grupy zarządzania, jak wyjaśniono w Defender dla Chmury uprawnienia: Wdrażanie eksportu do centrum zdarzeń w celu Microsoft Defender dla Chmury alertów i zaleceń.

Aby przesłać strumieniowo alerty za pomocą eksportu ciągłego:

1. Włącz eksport ciągły:

   • Na poziomie subskrypcji.
   • Na poziomie grupy zarządzania przy użyciu usługi Azure Policy.

2. Połączenie centrum zdarzeń do preferowanego rozwiązania przy użyciu wbudowanych łączników:

   Narzędzie	Hostowane na platformie Azure	opis
   SumoLogic	Nie.	Instrukcje dotyczące konfigurowania narzędzia SumoLogic do korzystania z danych z centrum zdarzeń są dostępne na stronie Zbieranie dzienników dla aplikacji inspekcji platformy Azure z usługi Event Hubs.
   ArcSight	Nie.	Inteligentny łącznik usługi Azure Event Hubs w usłudze ArcSight jest dostępny w ramach kolekcji łączników inteligentnych usługi ArcSight.
   Serwer Syslog	Nie.	Jeśli chcesz przesyłać strumieniowo dane usługi Azure Monitor bezpośrednio do serwera syslog, możesz użyć rozwiązania opartego na funkcji platformy Azure.
   LogRhythm	Nie.	Instrukcje dotyczące konfigurowania logRhythm w celu zbierania dzienników z centrum zdarzeń są dostępne tutaj.
   Logz.io	Tak	Aby uzyskać więcej informacji, zobacz Getting started with monitoring and logging using Logz.io for Java apps running on Azure (Wprowadzenie do monitorowania i rejestrowania przy użyciu Logz.io dla aplikacji Java działających na platformie Azure)

3. (Opcjonalnie) Przesyłanie strumieniowe nieprzetworzonych dzienników do centrum zdarzeń i nawiązywanie połączenia z preferowanym rozwiązaniem. Dowiedz się więcej w artykule Monitorowanie dostępnych danych.

Aby wyświetlić schematy zdarzeń wyeksportowanych typów danych, odwiedź stronę Schematy zdarzeń usługi Event Hubs.

Używanie interfejs API Zabezpieczenia programu Microsoft Graph do przesyłania strumieniowego alertów do aplikacji firm innych niż Microsoft

wbudowana integracja Defender dla Chmury z usługą Program Microsoft Graph interfejs API Zabezpieczenia bez konieczności dalszych wymagań dotyczących konfiguracji.

Za pomocą tego interfejsu API można przesyłać strumieniowo alerty z całej dzierżawy (i danych z wielu produktów zabezpieczeń firmy Microsoft) do systemów SIEM innych niż Microsoft i innych popularnych platform:

• Rozwiązanie Splunk Enterprise and Splunk Cloud - korzysta z dodatku Microsoft Graph interfejs API Zabezpieczenia dla rozwiązania Splunk
• Usługa Power BI - Połączenie do interfejs API Zabezpieczenia programu Microsoft Graph w programie Power BI Desktop.
• Usługa ServiceNow - zainstaluj i skonfiguruj aplikację microsoft Graph interfejs API Zabezpieczenia ze sklepu ServiceNow Store.
• QRadar - używa modułu obsługi urządzeń ibm do Microsoft Defender dla Chmury za pośrednictwem interfejsu API programu Microsoft Graph.
• Palo Alto Networks, Anomali, Lookout, InSpark i nie tylko — użyj interfejs API Zabezpieczenia Microsoft Graph.

Uwaga

Preferowanym sposobem eksportowania alertów jest ciągłe eksportowanie Microsoft Defender dla Chmury danych.

Następne kroki

Na tej stronie wyjaśniono, jak upewnić się, że dane alertów Microsoft Defender dla Chmury są dostępne w wybranym narzędziu SIEM, SOAR lub ITSM. Aby zapoznać się z powiązanym materiałem, zobacz:

• Co to jest usługa Microsoft Sentinel?
• Sprawdzanie poprawności alertów w Microsoft Defender dla Chmury — sprawdź, czy alerty są poprawnie skonfigurowane
• Ciągłe eksportowanie danych Defender dla Chmury