Förbereda Azure-resurser för export till Splunk och QRadar

För att kunna strömma Microsoft Defender för molnet säkerhetsaviseringar till IBM QRadar och Splunk måste du konfigurera resurser i Azure, till exempel Event Hubs och Microsoft Entra ID. Här följer anvisningarna för att konfigurera dessa resurser i Azure-portalen, men du kan också konfigurera dem med hjälp av ett PowerShell-skript. Kontrollera att du granskar Stream-aviseringar till QRadar och Splunk innan du konfigurerar Azure-resurserna för export av aviseringar till QRadar och Splunk.

Så här konfigurerar du Azure-resurserna för QRadar och Splunk i Azure-portalen:

Steg 1: Skapa ett Event Hubs-namnområde och en händelsehubb med sändningsbehörigheter

1. I Event Hubs-tjänsten skapar du ett Event Hubs-namnområde:

   1. Välj Skapa.
   2. Ange information om namnområdet, välj Granska + skapa och välj Skapa.

   

2. Skapa en händelsehubb:

   1. I namnområdet som du skapar väljer du + Händelsehubb.
   2. Ange information om händelsehubben och välj Granska + skapa och välj Skapa.

3. Skapa en princip för delad åtkomst.

   1. I menyn Händelsehubb väljer du det Event Hubs-namnområde som du skapade.
   2. I menyn Event Hub-namnområde väljer du Event Hubs.
   3. Välj den händelsehubb som du nyss skapade.
   4. I menyn för händelsehubben väljer du Principer för delad åtkomst.
   5. Välj Lägg till, ange ett unikt principnamn och välj Skicka.
   6. Välj Skapa för att skapa principen.

Steg 2: För strömning till QRadar SIEM – Skapa en lyssningsprincip

1. Välj Lägg till, ange ett unikt principnamn och välj Lyssna.

2. Välj Skapa för att skapa principen.

3. När lyssningsprincipen har skapats kopierar du primärnyckeln för Anslut ionssträngen och sparar den för senare användning.

   

Steg 3: Skapa en konsumentgrupp och kopiera och spara sedan namnet som ska användas i SIEM-plattformen

1. I avsnittet Entiteter på Event Hubs-menyn för händelsehubben väljer du Händelsehubbar och väljer den händelsehubb som du skapade.

   

2. Välj Konsumentgrupp.

Steg 4: Aktivera kontinuerlig export för aviseringarnas omfång

1. I Azure-sökrutan söker du efter "princip" och går till Principen.

2. I menyn Princip väljer du Definitioner.

3. Sök efter "distribuera export" och välj den inbyggda principen Distribuera export till Händelsehubb för Microsoft Defender för molnet data.

4. Välj Tilldela.

5. Definiera de grundläggande principalternativen:

   1. I Omfång väljer du ... för att välja det omfång som principen ska tillämpas på.
   2. Leta upp rothanteringsgruppen (för klientomfång), hanteringsgrupp, prenumeration eller resursgrupp i omfånget och välj Välj.
      • Om du vill välja en rothanteringsgruppsnivå för klientorganisation måste du ha behörigheter på klientnivå.
   3. (Valfritt) I Undantag kan du definiera specifika prenumerationer som ska undantas från exporten.
   4. Ange ett tilldelningsnamn.
   5. Kontrollera att principtillämpningen är aktiverad.

   

6. I principparametrarna:

   1. Ange den resursgrupp där automationsresursen sparas.
   2. Välj resursgruppsplats.
   3. Välj ... bredvid händelsehubbens information och ange information för händelsehubben, inklusive:
      • Prenumeration.
      • Event Hubs-namnområdet som du skapade.
      • Händelsehubben som du skapade.
      • I auktoriseringsreglerna väljer du den princip för delad åtkomst som du skapade för att skicka aviseringar.

   

7. Välj Granska och skapa och slutför processen med att definiera den kontinuerliga exporten till Event Hubs.

   • Observera att när du aktiverar principen för kontinuerlig export på klientorganisationen (rothanteringsgruppnivå) strömmar den automatiskt dina aviseringar på alla nya prenumerationer som skapas under den här klientorganisationen.

Steg 5: För strömningsaviseringar till QRadar SIEM – Skapa ett lagringskonto

1. Gå till Azure-portalen, välj Skapa en resurs och välj Lagringskonto. Om det alternativet inte visas söker du efter "lagringskonto".

2. Välj Skapa.

3. Ange information för lagringskontot, välj Granska och Skapa och sedan Skapa.

   

4. När du har skapat ditt lagringskonto och går till resursen väljer du Åtkomstnycklar på menyn.

5. Välj Visa nycklar för att se nycklarna och kopiera anslutningssträng för Nyckel 1.

   

Steg 6: För strömmande aviseringar till Splunk SIEM – Skapa ett Microsoft Entra-program

1. I sökrutan på menyn söker du efter "Microsoft Entra-ID" och går till Microsoft Entra-ID.

2. Gå till Azure-portalen, välj Skapa en resurs och välj Microsoft Entra-ID. Om det alternativet inte visas söker du efter "active directory".

3. Välj Appregistreringar på menyn.

4. Välj Ny registrering.

5. Ange ett unikt namn för programmet och välj Registrera.

   

6. Kopiera till Urklipp och spara program-ID:t (klient- och katalog-ID:t).

7. Skapa klienthemligheten för programmet:

   1. Gå till Certifikat och hemligheter på menyn.
   2. Skapa ett lösenord för programmet för att bevisa dess identitet när du begär en token:
   3. Välj Ny klienthemlighet.
   4. Ange en kort beskrivning, välj förfallotiden för hemligheten och välj Lägg till.

   

8. När hemligheten har skapats kopierar du det hemliga ID:t och sparar det för senare användning tillsammans med program-ID:t och katalog-ID:t (klientorganisation).

Steg 7: För strömningsaviseringar till Splunk SIEM – Tillåt att Microsoft Entra-ID läser från händelsehubben

1. Gå till event hubs-namnområdet som du skapade.

2. Gå till Åtkomstkontroll på menyn.

3. Välj Lägg till och välj Lägg till rolltilldelning.

4. Välj Lägg till rolltilldelning.

   

5. På fliken Roller söker du efter Azure Event Hubs Data Receiver.

6. Välj Nästa.

7. Välj Välj medlemmar.

8. Sök efter Microsoft Entra-programmet som du skapade tidigare och välj det.

9. Välj Stäng.

Om du vill fortsätta att konfigurera export av aviseringar installerar du de inbyggda anslutningsprogrammen för det SIEM som du använder.