Strömma aviseringar till övervakningslösningar

  • Artikel

Microsoft Defender för molnet har möjlighet att strömma säkerhetsaviseringar till olika SIEM-lösningar (Security Information and Event Management), Security Orchestration Automated Response (SOAR) och ITSM (IT Service Management). Säkerhetsaviseringar genereras när hot identifieras på dina resurser. Defender för molnet prioriterar och listar aviseringarna på sidan Aviseringar, tillsammans med ytterligare information som behövs för att snabbt undersöka problemet. Detaljerade steg tillhandahålls för att hjälpa dig att åtgärda det identifierade hotet. Alla aviseringsdata behålls i 90 dagar.

Det finns inbyggda Azure-verktyg som är tillgängliga som säkerställer att du kan visa dina aviseringsdata i följande lösningar:

  • Microsoft Sentinel
  • Splunk Enterprise och Splunk Cloud
  • Power BI
  • ServiceNow
  • IBM:s QRadar
  • Palo Alto Networks
  • ArcSight

Strömma aviseringar till Defender XDR med Defender XDR API

Defender för molnet integreras internt med Med Microsoft Defender XDR kan du använda Defender XDR:s API för incidenter och aviseringar för att strömma aviseringar och incidenter till lösningar som inte kommer från Microsoft. Defender för molnet kunder kan komma åt ett API för alla Microsofts säkerhetsprodukter och kan använda den här integreringen som ett enklare sätt att exportera aviseringar och incidenter.

Lär dig hur du integrerar SIEM-verktyg med Defender XDR.

Strömma aviseringar till Microsoft Sentinel

Defender för molnet integreras internt med Microsoft Sentinel Azures molnbaserade SIEM- och SOAR-lösning.

Microsoft Sentinels anslutningsappar för Defender för molnet

Microsoft Sentinel innehåller inbyggda anslutningsappar för Microsoft Defender för molnet på prenumerations- och klientorganisationsnivå.

Du kan:

När du ansluter Defender för molnet till Microsoft Sentinel synkroniseras statusen för Defender för molnet aviseringar som matas in i Microsoft Sentinel mellan de två tjänsterna. När en avisering till exempel stängs i Defender för molnet visas även aviseringen som stängd i Microsoft Sentinel. När du ändrar status för en avisering i Defender för molnet uppdateras även statusen för aviseringen i Microsoft Sentinel. Statusen för alla Microsoft Sentinel-incidenter som innehåller den synkroniserade Microsoft Sentinel-aviseringen uppdateras dock inte.

Du kan aktivera funktionen för dubbelriktad aviseringssynkronisering för att automatiskt synkronisera statusen för de ursprungliga Defender för molnet-aviseringarna med Microsoft Sentinel-incidenter som innehåller kopiorna av Defender för molnet-aviseringarna. När till exempel en Microsoft Sentinel-incident som innehåller en Defender för molnet avisering stängs stänger Defender för molnet automatiskt motsvarande ursprungliga avisering.

Lär dig hur du ansluter aviseringar från Microsoft Defender för molnet.

Kommentar

Funktionen för dubbelriktad aviseringssynkronisering är inte tillgänglig i Azure Government-molnet.

Konfigurera inmatning av alla granskningsloggar i Microsoft Sentinel

Ett annat alternativ för att undersöka Defender för molnet aviseringar i Microsoft Sentinel är att strömma granskningsloggarna till Microsoft Sentinel:

Dricks

Microsoft Sentinel faktureras baserat på mängden data som den matar in för analys i Microsoft Sentinel och lagrar i Azure Monitor Log Analytics-arbetsytan. Microsoft Sentinel erbjuder en flexibel och förutsägbar prismodell. Läs mer på prissidan för Microsoft Sentinel.

Strömma aviseringar till QRadar och Splunk

Om du vill exportera säkerhetsaviseringar till Splunk och QRadar måste du använda Event Hubs och en inbyggd anslutningsapp. Du kan antingen använda ett PowerShell-skript eller Azure-portalen för att konfigurera kraven för att exportera säkerhetsaviseringar för din prenumeration eller klientorganisation. När kraven är uppfyllda måste du använda proceduren som är specifik för varje SIEM för att installera lösningen på SIEM-plattformen.

Förutsättningar

Innan du konfigurerar Azure-tjänsterna för export av aviseringar kontrollerar du att du har:

  • Azure-prenumeration (Skapa ett kostnadsfritt konto)
  • Azure-resursgrupp (Skapa en resursgrupp)
  • Ägarroll i aviseringsomfånget (prenumeration, hanteringsgrupp eller klientorganisation) eller dessa specifika behörigheter:
    • Skrivbehörigheter för händelsehubbar och Event Hubs-principen
    • Skapa behörigheter för Microsoft Entra-program om du inte använder ett befintligt Microsoft Entra-program
    • Tilldela behörigheter för principer om du använder Azure Policy "DeployIfNotExist"

Konfigurera Azure-tjänsterna

Du kan konfigurera din Azure-miljö så att den stöder kontinuerlig export med antingen:

  1. Ladda ned och kör PowerShell-skriptet.

  2. Ange de obligatoriska parametrarna.

  3. Kör skriptet.

Skriptet utför alla steg åt dig. När skriptet är klart använder du utdata för att installera lösningen på SIEM-plattformen.

Azure Portal

  1. Logga in på Azure-portalen.

  2. Sök efter och välj Event Hubs.

  3. Skapa ett Event Hubs-namnområde och en händelsehubb.

  4. Definiera en princip för händelsehubben med Send behörigheter.

Om du strömmar aviseringar till QRadar:

  1. Skapa en händelsehubbprincip Listen .

  2. Kopiera och spara anslutningssträng av principen som ska användas i QRadar.

  3. Skapa en konsumentgrupp.

  4. Kopiera och spara namnet som ska användas i SIEM-plattformen.

  5. Aktivera kontinuerlig export av säkerhetsaviseringar till den definierade händelsehubben.

  6. Skapa ett lagringskonto.

  7. Kopiera och spara anslutningssträng till kontot som ska användas i QRadar.

Mer detaljerade instruktioner finns i Förbereda Azure-resurser för export till Splunk och QRadar.

Om du strömmar aviseringar till Splunk:

  1. Skapa ett Microsoft Entra-program.

  2. Spara lösenordet för klientorganisation, app-ID och app.

  3. Ge behörighet till Microsoft Entra-programmet att läsa från händelsehubben som du skapade tidigare.

Mer detaljerade instruktioner finns i Förbereda Azure-resurser för export till Splunk och QRadar.

Anslut händelsehubben till önskad lösning med hjälp av de inbyggda anslutningsapparna

Varje SIEM-plattform har ett verktyg som gör att den kan ta emot aviseringar från Azure Event Hubs. Installera verktyget för din plattform för att börja ta emot aviseringar.

Verktyg Värdhanterad i Azure beskrivning
IBM QRadar Nej Microsoft Azure DSM och Microsoft Azure Event Hubs Protocol är tillgängliga för nedladdning från IBM-supportwebbplatsen.
Splunk Nej Splunk-tillägg för Microsoft Cloud Services är ett öppen källkod projekt som är tillgängligt i Splunkbase.

Om du inte kan installera ett tillägg i din Splunk-instans, till exempel om du använder en proxy eller körs i Splunk Cloud, kan du vidarebefordra dessa händelser till Splunk HTTP Event Collector med hjälp av Azure Function For Splunk, som utlöses av nya meddelanden i händelsehubben.

Stream-aviseringar med kontinuerlig export

Om du vill strömma aviseringar till ArcSight, SumoLogic, Syslog-servrar, LogRhythm, Logz.io Cloud Observability Platform och andra övervakningslösningar ansluter du Defender för molnet med kontinuerlig export och Azure Event Hubs.

Kommentar

Om du vill strömma aviseringar på klientorganisationsnivå använder du den här Azure-principen och anger omfånget i rothanteringsgruppen. Du behöver behörigheter för rothanteringsgruppen enligt beskrivningen i Defender för molnet behörigheter: Distribuera export till en händelsehubb för Microsoft Defender för molnet aviseringar och rekommendationer.

Så här strömmar du aviseringar med kontinuerlig export:

  1. Aktivera kontinuerlig export:

  2. Anslut händelsehubben till önskad lösning med hjälp av de inbyggda anslutningsprogrammen:

    Verktyg Värdhanterad i Azure beskrivning
    SumoLogic Nej Instruktioner för hur du konfigurerar SumoLogic för att använda data från en händelsehubb finns i Samla in loggar för Azure-granskningsappen från Event Hubs.
    ArcSight Nej ArcSight Azure Event Hubs smarta anslutningsapp är tillgänglig som en del av arcsight-samlingen för smarta anslutningsappar.
    Syslog-server Nej Om du vill strömma Azure Monitor-data direkt till en syslog-server kan du använda en lösning baserat på en Azure-funktion.
    LogRhythm Nej Instruktioner för att konfigurera LogRhythm för att samla in loggar från en händelsehubb finns här.
    Logz.io Ja Mer information finns i Komma igång med övervakning och loggning med hjälp av Logz.io för Java-appar som körs i Azure

  3. (Valfritt) Strömma rådataloggarna till händelsehubben och anslut till önskad lösning. Läs mer i Övervakning av tillgängliga data.

Om du vill visa händelsescheman för de exporterade datatyperna går du till händelsescheman för Event Hubs.

Använd Microsoft Graph-API för säkerhet för att strömma aviseringar till program som inte kommer från Microsoft

Defender för molnet inbyggda integrering med Microsoft Graph API för säkerhet utan ytterligare konfigurationskrav.

Du kan använda det här API:et för att strömma aviseringar från hela klientorganisationen (och data från många Microsoft Security-produkter) till icke-Microsoft-SIEM:er och andra populära plattformar:

Kommentar

Det bästa sättet att exportera aviseringar är att kontinuerligt exportera Microsoft Defender för molnet data.

Nästa steg

På den här sidan beskrivs hur du ser till att dina Microsoft Defender för molnet aviseringsdata är tillgängliga i valfritt SIEM-, SOAR- eller ITSM-verktyg. För relaterat material, se: