Потоковая передача оповещений для мониторинга решений

  • Статья

Microsoft Defender для облака имеет возможность потоковой передачи оповещений системы безопасности в различные решения службы безопасности и управления событиями (SIEM), автоматическое реагирование оркестрации безопасности (SOAR) и управление ИТ-службами (ITSM). Оповещения системы безопасности создаются при обнаружении угроз на ваших ресурсах. Defender для облака приоритеты и список оповещений на странице оповещений, а также дополнительные сведения, необходимые для быстрого изучения проблемы. Подробные инструкции предоставляются для устранения обнаруженной угрозы. Все данные оповещений хранятся в течение 90 дней.

Существуют встроенные средства Azure, которые обеспечивают просмотр данных оповещений в следующих решениях:

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • Power BI
  • ServiceNow
  • QRadar от IBM
  • Palo Alto Networks
  • ArcSight

Потоковая передача оповещений в XDR Defender с помощью API XDR Defender

Defender для облака изначально интегрируется с XDR в Microsoft Defender позволяет использовать инциденты ИДР Защитника XDR и API оповещений для потоковой передачи оповещений и инцидентов в решения, отличные от Майкрософт. Defender для облака клиенты могут получить доступ к одному API для всех продуктов безопасности Майкрософт и использовать эту интеграцию как более простой способ экспорта оповещений и инцидентов.

Узнайте, как интегрировать средства SIEM с XDR Defender.

Потоковая передача оповещений в Microsoft Sentinel

Defender для облака изначально интегрируется с Облачное решение SIEM и SOAR в Microsoft Sentinel Azure.

Соединители Microsoft Sentinel для Defender для облака

Microsoft Sentinel включает встроенные соединители для Microsoft Defender для облака на уровне подписки и клиента.

Вы можете:

При подключении Defender для облака к Microsoft Sentinel состояние оповещений Defender для облака, принимаемых в Microsoft Sentinel, синхронизируется между этими двумя службами. Например, если оповещение закрыто в Defender для облака, это оповещение также отображается как закрытое в Microsoft Sentinel. При изменении состояния оповещения в Defender для облака также обновляется состояние оповещения в Microsoft Sentinel. Однако состояния любых инцидентов Microsoft Sentinel, содержащих синхронизированное оповещение Microsoft Sentinel, не обновляются.

Вы можете включить функцию двухнаправленной синхронизации оповещений для автоматической синхронизации состояния исходных оповещений Defender для облака с инцидентами Microsoft Sentinel, содержащими копии оповещений Defender для облака. Например, при закрытии инцидента Microsoft Sentinel, содержащего оповещение Defender для облака, Defender для облака автоматически закрывает соответствующее исходное оповещение.

Узнайте, как подключить оповещения из Microsoft Defender для облака.

Примечание.

Функция двунаправленной синхронизации оповещений недоступна в облаке Azure для государственных организаций.

Настройка приема всех журналов аудита в Microsoft Sentinel

Альтернативным вариантом для анализа оповещений Defender для облака в Microsoft Sentinel является потоковая передача журналов аудита в Microsoft Sentinel:

Совет

Счета за Microsoft Sentinel выставляются на основе объема данных, которые приняты для анализа в Microsoft Sentinel и хранятся в рабочей области Log Analytics в Azure Monitor. Microsoft Sentinel предлагает гибкую и прогнозируемую модель ценообразования. Ознакомиться с ней можно на страницей с расценками для Microsoft Sentinel.

Потоковая передача оповещений в QRadar и Splunk

Чтобы экспортировать оповещения системы безопасности в Splunk и QRadar, необходимо использовать центры событий и встроенный соединитель. Настроить требования к экспорту оповещений системы безопасности для подписки или арендатора можно с помощью скрипта PowerShell или портала Azure. После того как требования будут выполнены, необходимо использовать процедуру, определенную для каждого SIEM, чтобы установить решение на платформе SIEM.

Необходимые компоненты

Перед настройкой служб Azure для экспорта оповещений убедитесь, что у вас есть:

  • Подписка Azure (создайте бесплатную учетную запись).
  • Группа ресурсов Azure (создайте группу ресурсов).
  • Роль владельца оповещений область (подписка, группа управления или клиент) или указанные ниже разрешения:
    • Разрешения на запись для центров событий и политики Центров событий
    • Создание разрешений для приложений Microsoft Entra, если вы не используете существующее приложение Microsoft Entra
    • разрешения на назначение для политик, если вы используете политику Azure DeployIfNotExist.

Настройка служб Azure

Вы можете настроить среду Azure для поддержки непрерывного экспорта с помощью следующих средств:

  1. Скачайте и запустите скрипт PowerShell.

  2. Введите обязательные параметры.

  3. Выполните скрипт.

Скрипт выполняет все действия для вас. По завершении скрипта используйте выходные данные для установки решения на платформе SIEM.

Портал Azure

  1. Войдите на портал Azure.

  2. Найдите и выберите элемент Event Hubs.

  3. Создайте пространство имен Центров событий и концентратор событий.

  4. Определите политику для концентратора событий с Send разрешениями.

Если вы выполняете потоковую передачу оповещений в QRadar:

  1. Создайте политику концентратора Listen событий.

  2. Скопируйте и сохраните строка подключения политики для использования в QRadar.

  3. Создайте группу потребителей.

  4. Скопируйте и сохраните имя, используемое на платформе SIEM.

  5. Включите непрерывный экспорт оповещений системы безопасности в определенный концентратор событий.

  6. Создание учетной записи хранения.

  7. Скопируйте и сохраните строка подключения в учетную запись для использования в QRadar.

Более подробные инструкции см. в статье Подготовка ресурсов Azure для экспорта в Splunk и QRadar.

Если вы выполняете потоковую передачу оповещений в Splunk:

  1. Создайте приложение Microsoft Entra.

  2. Сохраните имя арендатора, идентификатор приложения и пароль приложения.

  3. Предоставьте приложению Microsoft Entra разрешения на чтение из созданного вами концентратора событий.

Более подробные инструкции см. в статье Подготовка ресурсов Azure для экспорта в Splunk и QRadar.

Подключение концентратора событий к выбранному решению с помощью встроенных соединителей

У каждой платформы SIEM есть средство, позволяющее получать оповещения из Центра событий Azure. Установите средство для платформы, чтобы получать оповещения.

Средство Размещено в Azure Description
IBM QRadar No Microsoft Azure DSM и протокол Центров событий Microsoft Azure доступны для загрузки на веб-сайте поддержки IBM.
Splunk No Надстройка Splunk для служб Microsoft Cloud — это проект с открытым кодом, доступный в Splunkbase.

Если вам не удается установить надстройку в экземпляре Splunk (например, если вы используете прокси-сервер или работаете со Splunk Cloud), можно передать эти события в сборщик событий HTTP Splunk с помощью функции Azure для Splunk, активируемой при поступлении новых сообщений в концентратор событий.

Потоковая передача оповещений с непрерывным экспортом

Для потоковой передачи оповещений в ArcSight, SumoLogic, серверы Syslog, LogRhythm, Logz.io Cloud Observability Platform и другие решения мониторинга, подключите Defender для облака с помощью непрерывного экспорта и Центры событий Azure.

Примечание.

Для потоковой передачи оповещений на уровне арендатора используйте эту политику Azure и задайте область в корневой группе управления. Вам потребуются разрешения для корневой группы управления, как описано в статье Разрешения в Defender для облака: Развертывание функции экспорта в концентраторе событий для оповещений и рекомендаций Microsoft Defender для облака.

Для потоковой передачи оповещений с непрерывным экспортом:

  1. Включите непрерывный экспорт:

  2. Подключите концентратор событий к выбранному решению с помощью встроенных соединителей.

    Средство Размещено в Azure Description
    sumologic No Инструкции по настройке SumoLogic для использования данных из концентратора событий доступны в статье Сбор журналов для приложения аудита Azure из Центров событий.
    ArcSight No Интеллектуальный соединитель ArcSight для Центров событий Azure доступен в составе коллекции интеллектуальных соединителей ArcSight.
    Сервер системного журнала No Если вы хотите передавать данные Azure Monitor непосредственно на сервер системного журнала, можно использовать решение, основанное на функции Azure.
    LogRhythm No Инструкции по настройке LogRhythm для получения журналов из концентратора событий доступны здесь.
    Logz.io Да Дополнительные сведения см. в статье Учебник. Начало работы с функциями мониторинга и ведения журналов с использованием Logz.io для приложений Java, работающих в Azure

  3. (Необязательно) Потоковая передача необработанных журналов в концентратор событий и подключение к предпочтительному решению. Дополнительные сведения см. в статье Мониторинг доступных данных.

Схемы событий экспортируемых типов данных см. на странице Схемы событий Центров событий.

Использование API безопасности Microsoft Graph для потоковой передачи оповещений в приложения, отличные от Майкрософт

встроенная интеграция Defender для облака с Microsoft Graph API безопасности без каких-либо дополнительных требований к конфигурации.

Этот API можно использовать для потоковой передачи оповещений от всего клиента (и данных из многих продуктов Майкрософт Security) в не microsoft SIEMs и других популярных платформах:

Примечание.

Предпочтительный способ экспорта оповещений заключается в непрерывном экспорте Microsoft Defender для облака данных.

Следующие шаги

На этой странице описано, как обеспечить доступ к оповещениям Microsoft Defender для облака в средстве SIEM, SOAR или ITSM. Дополнительные материалы: