Transmitir alertas para soluções de monitoramento

  • Artigo

O Microsoft Defender for Cloud tem a capacidade de transmitir alertas de segurança para várias soluções de Gerenciamento de Informações e Eventos de Segurança (SIEM), Resposta Automatizada de Orquestração de Segurança (SOAR) e Gerenciamento de Serviços de TI (ITSM). Os alertas de segurança são gerados quando são detetadas ameaças nos seus recursos. O Defender for Cloud prioriza e lista os alertas na página Alertas, juntamente com informações adicionais necessárias para investigar rapidamente o problema. Etapas detalhadas são fornecidas para ajudá-lo a remediar a ameaça detetada. Todos os dados de alertas são retidos por 90 dias.

Há ferramentas internas do Azure disponíveis que garantem que você possa exibir seus dados de alerta nas seguintes soluções:

  • Microsoft Sentinel
  • Splunk Enterprise e Splunk Cloud
  • Power BI
  • ServiceNow
  • QRadar da IBM
  • Palo Alto Redes
  • ArcSight

Transmitir alertas para o Defender XDR com a API do Defender XDR

O Defender for Cloud integra-se nativamente com o Microsoft Defender XDR e permite que você use a API de incidentes e alertas do Defender XDR para transmitir alertas e incidentes para soluções que não sejam da Microsoft. Os clientes do Defender for Cloud podem acessar uma API para todos os produtos de segurança da Microsoft e podem usar essa integração como uma maneira mais fácil de exportar alertas e incidentes.

Saiba como integrar as ferramentas SIEM com o Defender XDR.

Transmitir alertas para o Microsoft Sentinel

O Defender for Cloud integra-se nativamente com a solução SIEM e SOAR nativa da nuvem do Microsoft Sentinel Azure.

Conectores do Microsoft Sentinel para o Defender for Cloud

O Microsoft Sentinel inclui conectores internos para o Microsoft Defender for Cloud nos níveis de assinatura e locatário.

Pode:

Quando você conecta o Defender for Cloud ao Microsoft Sentinel, o status dos alertas do Defender for Cloud que são ingeridos no Microsoft Sentinel é sincronizado entre os dois serviços. Por exemplo, quando um alerta é fechado no Defender for Cloud, esse alerta também é mostrado como fechado no Microsoft Sentinel. Quando você altera o status de um alerta no Defender for Cloud, o status do alerta no Microsoft Sentinel também é atualizado. No entanto, os status de quaisquer incidentes do Microsoft Sentinel que contenham o alerta sincronizado do Microsoft Sentinel não são atualizados.

Você pode habilitar o recurso de sincronização de alertas bidirecionais para sincronizar automaticamente o status dos alertas originais do Defender for Cloud com incidentes do Microsoft Sentinel que contêm as cópias dos alertas do Defender for Cloud. Por exemplo, quando um incidente do Microsoft Sentinel que contém um alerta do Defender for Cloud é fechado, o Defender for Cloud fecha automaticamente o alerta original correspondente.

Saiba como conectar alertas do Microsoft Defender for Cloud.

Nota

O recurso de sincronização de alertas bidirecionais não está disponível na nuvem do Azure Government.

Configurar a ingestão de todos os logs de auditoria no Microsoft Sentinel

Outra alternativa para investigar alertas do Defender for Cloud no Microsoft Sentinel é transmitir seus logs de auditoria para o Microsoft Sentinel:

Gorjeta

O Microsoft Sentinel é cobrado com base no volume de dados que ingere para análise no Microsoft Sentinel e armazena no espaço de trabalho do Azure Monitor Log Analytics. O Microsoft Sentinel oferece um modelo de preços flexível e previsível. Saiba mais na página de preços do Microsoft Sentinel.

Transmitir alertas para QRadar e Splunk

Para exportar alertas de segurança para o Splunk e o QRadar, você precisa usar Hubs de Eventos e um conector integrado. Você pode usar um script do PowerShell ou o portal do Azure para configurar os requisitos de exportação de alertas de segurança para sua assinatura ou locatário. Uma vez que os requisitos estejam em vigor, você precisa usar o procedimento específico para cada SIEM para instalar a solução na plataforma SIEM.

Pré-requisitos

Antes de configurar os serviços do Azure para exportar alertas, certifique-se de:

  • Subscrição do Azure (Criar uma conta gratuita)
  • Grupo de recursos do Azure (Criar um grupo de recursos)
  • Função de proprietário no escopo de alertas (assinatura, grupo de gerenciamento ou locatário) ou estas permissões específicas:
    • Permissões de gravação para hubs de eventos e a Política de Hubs de Eventos
    • Crie permissões para aplicativos Microsoft Entra, se você não estiver usando um aplicativo Microsoft Entra existente
    • Atribua permissões para políticas, se você estiver usando a Política do Azure 'DeployIfNotExist'

Configurar os serviços do Azure

Você pode configurar seu ambiente do Azure para dar suporte à exportação contínua usando:

  1. Baixe e execute o script do PowerShell.

  2. Insira os parâmetros necessários.

  3. Execute o script.

O script executa todas as etapas para você. Quando o script terminar, use a saída para instalar a solução na plataforma SIEM.

Portal do Azure

  1. Inicie sessão no portal do Azure.

  2. Procure e selecione Event Hubs.

  3. Crie um namespace e um hub de eventos de Hubs de Eventos.

  4. Defina uma política para o hub de eventos com Send permissões.

Se você estiver transmitindo alertas para o QRadar:

  1. Crie uma política de hub Listen de eventos.

  2. Copie e salve a cadeia de conexão da política para usar no QRadar.

  3. Crie um grupo de consumidores.

  4. Copie e salve o nome para usar na plataforma SIEM.

  5. Habilite a exportação contínua de alertas de segurança para o hub de eventos definido.

  6. Criar uma conta de armazenamento.

  7. Copie e salve a cadeia de conexão na conta para usar no QRadar.

Para obter instruções mais detalhadas, consulte Preparar recursos do Azure para exportar para o Splunk e o QRadar.

Se você estiver transmitindo alertas para o Splunk:

  1. Crie um aplicativo Microsoft Entra.

  2. Salve o locatário, a ID do aplicativo e a senha do aplicativo.

  3. Conceda permissões ao Aplicativo Microsoft Entra para ler a partir do hub de eventos criado anteriormente.

Para obter instruções mais detalhadas, consulte Preparar recursos do Azure para exportar para o Splunk e o QRadar.

Conecte o hub de eventos à sua solução preferida usando os conectores integrados

Cada plataforma SIEM tem uma ferramenta para permitir que ela receba alertas dos Hubs de Eventos do Azure. Instale a ferramenta para que a sua plataforma comece a receber alertas.

Ferramenta Hospedado no Azure Description
IBM QRadar Não O Microsoft Azure DSM e o Microsoft Azure Event Hubs Protocol estão disponíveis para download no site de suporte da IBM.
Splunk Não O Splunk Add-on for Microsoft Cloud Services é um projeto de código aberto disponível no Splunkbase.

Se não for possível instalar um complemento em sua instância do Splunk, por exemplo, se estiver usando um proxy ou executando no Splunk Cloud, você poderá encaminhar esses eventos para o Coletor de Eventos HTTP do Splunk usando o Azure Function For Splunk, que é acionado por novas mensagens no hub de eventos.

Alertas de fluxo com exportação contínua

Para transmitir alertas para ArcSight, SumoLogic, servidores Syslog, LogRhythm, Logz.io Cloud Observability Platform e outras soluções de monitoramento, conecte o Defender for Cloud usando exportação contínua e Hubs de Eventos do Azure.

Nota

Para transmitir alertas no nível do locatário, use esta política do Azure e defina o escopo no grupo de gerenciamento raiz. Você precisará de permissões para o grupo de gerenciamento raiz, conforme explicado em Permissões do Defender for Cloud: Implantar exportação para um hub de eventos para alertas e recomendações do Microsoft Defender for Cloud.

Para transmitir alertas com exportação contínua:

  1. Habilite a exportação contínua:

    • Ao nível da subscrição.
    • No nível do Grupo de Gerenciamento usando a Política do Azure.

  2. Conecte o hub de eventos à sua solução preferida usando os conectores integrados:

    Ferramenta Hospedado no Azure Description
    SumoLogic Não As instruções para configurar o SumoLogic para consumir dados de um hub de eventos estão disponíveis em Coletar Logs para o Aplicativo de Auditoria do Azure dos Hubs de Eventos.
    ArcSight Não O conector inteligente ArcSight Azure Event Hubs está disponível como parte da coleção de conectores inteligentes do ArcSight.
    Syslog server Não Se quiser transmitir dados do Azure Monitor diretamente para um servidor syslog, você pode usar uma solução baseada em uma função do Azure.
    LogRitmo Não As instruções para configurar o LogRhythm para coletar logs de um hub de eventos estão disponíveis aqui.
    Logz.io Sim Para obter mais informações, consulte Introdução ao monitoramento e registro em log usando o Logz.io para aplicativos Java em execução no Azure

  3. (Opcional) Transmita os logs brutos para o hub de eventos e conecte-se à sua solução preferida. Saiba mais em Monitoramento de dados disponíveis.

Para exibir os esquemas de eventos dos tipos de dados exportados, visite os esquemas de eventos dos Hubs de Eventos.

Usar a API de Segurança do Microsoft Graph para transmitir alertas para aplicativos que não são da Microsoft

A integração integrada do Defender for Cloud com a API de segurança do Microsoft Graph sem a necessidade de quaisquer requisitos de configuração adicionais.

Você pode usar essa API para transmitir alertas de todo o seu locatário (e dados de muitos produtos de segurança da Microsoft) para SIEMs que não sejam da Microsoft e outras plataformas populares:

Nota

A maneira preferida de exportar alertas é por meio da exportação contínua de dados do Microsoft Defender for Cloud.

Próximos passos

Esta página explicou como garantir que seus dados de alerta do Microsoft Defender for Cloud estejam disponíveis na ferramenta SIEM, SOAR ou ITSM de sua escolha. Para material relacionado, consulte: