İzleme çözümlerine uyarı akışı yapma
Bulut için Microsoft Defender, güvenlik uyarılarını çeşitli Güvenlik Bilgileri ve Olay Yönetimi (SIEM), Güvenlik Düzenleme Otomatik Yanıtı (SOAR) ve BT Hizmet Yönetimi (ITSM) çözümlerine akışla aktarabilme özelliğine sahiptir. Kaynaklarınızda tehditler algılandığında güvenlik uyarıları oluşturulur. Bulut için Defender uyarılar sayfasında uyarıların önceliklerini oluşturur ve listeler ve sorunu hızla araştırmak için gereken ek bilgileri içerir. Algılanan tehdidi düzeltmenize yardımcı olmak için ayrıntılı adımlar sağlanır. Tüm uyarı verileri 90 gün boyunca saklanır.
Uyarı verilerinizi aşağıdaki çözümlerde görüntüleyebilmenizi sağlayan yerleşik Azure araçları vardır:
- Microsoft Sentinel
- Splunk Enterprise ve Splunk Cloud
- Power BI
- ServiceNow
- IBM'in QRadar
- Palo Alto Networks
- ArcSight
Defender XDR API'siyle Defender XDR'ye uyarı akışı
Bulut için Defender ile yerel olarak tümleşirMicrosoft Defender XDR, uyarıları ve olayları Microsoft dışı çözümlere akışla aktarmak için Defender XDR'nin olayları ve uyarıları API'sini kullanmanıza olanak tanır. Bulut için Defender müşteriler tüm Microsoft güvenlik ürünleri için bir API'ye erişebilir ve uyarıları ve olayları dışarı aktarmanın daha kolay bir yolu olarak bu tümleştirmeyi kullanabilir.
SIEM araçlarını Defender XDR ile tümleştirmeyi öğrenin.
Uyarıları Microsoft Sentinel'e akışla aktarın
Bulut için Defender ile yerel olarak tümleşirMicrosoft Sentinel Azure'ın bulutta yerel SIEM ve SOAR çözümü.
Bulut için Defender için Microsoft Sentinel bağlayıcıları
Microsoft Sentinel, abonelik ve kiracı düzeylerinde Bulut için Microsoft Defender için yerleşik bağlayıcılar içerir.
Şunları yapabilirsiniz:
- Uyarıları abonelik düzeyinde Microsoft Sentinel'e akışla aktarın.
- Kiracınızdaki tüm abonelikleri Microsoft Sentinel'e bağlayın.
Bulut için Defender Microsoft Sentinel'e bağladığınızda, Microsoft Sentinel'e alınan Bulut için Defender uyarıların durumu iki hizmet arasında eşitlenir. Örneğin, bir uyarı Bulut için Defender kapatıldığında, bu uyarı Microsoft Sentinel'de de kapalı olarak gösterilir. Bulut için Defender'da bir uyarının durumunu değiştirdiğinizde, Microsoft Sentinel'deki uyarının durumu da güncelleştirilir. Ancak eşitlenmiş Microsoft Sentinel uyarısını içeren Microsoft Sentinel olaylarının durumları güncelleştirilmez.
özgün Bulut için Defender uyarılarının durumunu, Bulut için Defender uyarılarının kopyalarını içeren Microsoft Sentinel olaylarıyla otomatik olarak eşitlemek için çift yönlü uyarı eşitleme özelliğini etkinleştirebilirsiniz. Örneğin, Bulut için Defender uyarısı içeren bir Microsoft Sentinel olayı kapatıldığında Bulut için Defender ilgili özgün uyarıyı otomatik olarak kapatır.
Bulut için Microsoft Defender uyarılarını bağlamayı öğrenin.
Tüm denetim günlüklerinin Microsoft Sentinel'e alımını yapılandırma
Microsoft Sentinel'de Bulut için Defender uyarılarını araştırmanın bir diğer alternatifi de denetim günlüklerinizi Microsoft Sentinel'e akışla aktarmaktır:
- Windows güvenlik olaylarını bağlama
- Syslog kullanarak Linux tabanlı kaynaklardan veri toplama
- Azure Etkinlik günlüğünden veri bağlama
İpucu
Microsoft Sentinel, Microsoft Sentinel'de analiz için alınan ve Azure İzleyici Log Analytics çalışma alanında depolayan veri hacmine göre faturalandırılır. Microsoft Sentinel esnek ve öngörülebilir bir fiyatlandırma modeli sunar. Microsoft Sentinel fiyatlandırma sayfasında daha fazla bilgi edinin.
Uyarıları QRadar ve Splunk'a akışla aktar
Güvenlik uyarılarını Splunk ve QRadar'a aktarmak için Event Hubs'ı ve yerleşik bağlayıcıyı kullanmanız gerekir. Aboneliğiniz veya kiracınız için güvenlik uyarılarını dışarı aktarma gereksinimlerini ayarlamak için bir PowerShell betiği veya Azure portalı kullanabilirsiniz. Gereksinimler uygulandıktan sonra çözümü SIEM platformuna yüklemek için her SIEM'e özgü yordamı kullanmanız gerekir.
Önkoşullar
Uyarıları dışarı aktarmak için Azure hizmetlerini ayarlamadan önce şunları yaptığınızdan emin olun:
- Azure aboneliği (Ücretsiz hesap oluşturma)
- Azure kaynak grubu (Kaynak grubu oluşturma)
- Uyarı kapsamındaki sahip rolü (abonelik, yönetim grubu veya kiracı) veya şu belirli izinler:
- Olay hub'ları ve Event Hubs İlkesi için yazma izinleri
- Mevcut bir Microsoft Entra uygulamasını kullanmıyorsanız Microsoft Entra uygulamaları için izinler oluşturma
- 'DeployIfNotExist' Azure İlkesi kullanıyorsanız, ilkeler için izinler atayın
Azure hizmetlerini ayarlama
Azure ortamınızı aşağıdakilerden birini kullanarak sürekli dışarı aktarmayı destekleyecek şekilde ayarlayabilirsiniz:
PowerShell betiği (Önerilen)
PowerShell betiğini indirin ve çalıştırın.
Gerekli parametreleri girin.
Betiği yürütün.
Betik tüm adımları sizin için gerçekleştirir. Betik tamamlandığında, çözümü SIEM platformuna yüklemek için çıktıyı kullanın.
Azure portal
Azure Portal’ında oturum açın.
Event Hubs
araması yapın ve sonuçlardan bunu seçin.Event Hubs ad alanı ve olay hub'ı oluşturun.
olay hub'ı için izinlere sahip
Send
bir ilke tanımlayın.
Uyarıları QRadar'a akışla aktarıyorsanız:
Olay hub'ı
Listen
ilkesi oluşturun.QRadar'da kullanılacak ilkenin bağlantı dizesi kopyalayın ve kaydedin.
Bir tüketici grubu oluşturun.
SIEM platformunda kullanmak için adı kopyalayın ve kaydedin.
Güvenlik uyarılarının tanımlanan olay hub'ına sürekli dışarı aktarmasını etkinleştirin.
Depolama hesabı oluşturma.
QRadar'da kullanmak üzere bağlantı dizesi kopyalayın ve hesaba kaydedin.
Daha ayrıntılı yönergeler için bkz . Azure kaynaklarını Splunk ve QRadar'a dışarı aktarma için hazırlama.
Uyarıları Splunk'a akışla aktarıyorsanız:
Bir Microsoft Entra uygulaması oluşturun.
Kiracı, Uygulama Kimliği ve Uygulama parolasını kaydedin.
Microsoft Entra Uygulaması'na daha önce oluşturduğunuz olay hub'ından okuma izni verin.
Daha ayrıntılı yönergeler için bkz . Azure kaynaklarını Splunk ve QRadar'a dışarı aktarma için hazırlama.
Yerleşik bağlayıcıları kullanarak olay hub'ını tercih ettiğiniz çözüme bağlama
Her SIEM platformunda, Azure Event Hubs'dan uyarılar almasına olanak tanıyan bir araç vardır. Uyarıları almaya başlamak için platformunuzun aracını yükleyin.
Araç | Azure'da barındırılan | Açıklama |
---|---|---|
IBM QRadar | Hayır | Microsoft Azure DSM ve Microsoft Azure Event Hubs Protokolü IBM destek web sitesinden indirilebilir. |
Splunk | Hayır | Microsoft Cloud Services için Splunk Eklentisi, Splunkbase'de kullanılabilen açık kaynak bir projedir. Splunk örneğinize bir eklenti yükleyemiyorsanız, örneğin bir ara sunucu kullanıyorsanız veya Splunk Cloud'da çalıştırıyorsanız, olay hub'ında yeni iletiler tarafından tetiklenen Splunk için Azure İşlevi'ni kullanarak bu olayları Splunk HTTP Olay Toplayıcısı'na iletebilirsiniz. |
Sürekli dışarı aktarma ile uyarıları akışla aktarma
ArcSight, SumoLogic, Syslog sunucuları, LogRhythm, Logz.io Bulut Gözlemlenebilirlik Platformu ve diğer izleme çözümlerine uyarı akışı yapmak için sürekli dışarı aktarma ve Azure Event Hubs kullanarak Bulut için Defender bağlanın.
Not
Uyarıları kiracı düzeyinde akışla yayınlamak için bu Azure ilkesini kullanın ve kapsamı kök yönetim grubunda ayarlayın. Bulut için Defender izinler: Bulut için Microsoft Defender uyarıları ve önerileri için bir olay hub'ına dışarı aktarma dağıtma bölümünde açıklandığı gibi kök yönetim grubu için izinlere ihtiyacınız vardır.
Sürekli dışarı aktarma ile uyarıları akışla aktarmak için:
Sürekli dışarı aktarmayı etkinleştir:
- Abonelik düzeyinde.
- Azure İlkesi kullanarak Yönetim Grubu düzeyinde.
Yerleşik bağlayıcıları kullanarak olay hub'ını tercih ettiğiniz çözüme bağlayın:
Araç Azure'da barındırılan Açıklama SumoLogic Hayır SumoLogic'i bir olay hub'ından veri kullanacak şekilde ayarlama yönergeleri event hub'larından Azure Denetim Uygulaması için Günlükleri Toplama makalesinde bulunabilir. ArcSight Hayır ArcSight Azure Event Hubs akıllı bağlayıcısı, ArcSight akıllı bağlayıcı koleksiyonunun bir parçası olarak kullanılabilir. Syslog sunucusu Hayır Azure İzleyici verilerini doğrudan bir syslog sunucusuna akışla aktarmayı istiyorsanız, Azure işlevini temel alan bir çözüm kullanabilirsiniz. LogRhythm Hayır LogRhythm'yi bir olay hub'ından günlükleri toplayacak şekilde ayarlama yönergelerine buradan ulaşabilirsiniz. Logz.io Yes Daha fazla bilgi için bkz . Azure'da çalışan Java uygulamaları için Logz.io kullanarak izleme ve günlüğe kaydetmeye başlama (İsteğe bağlı) Ham günlükleri olay hub'ına aktarın ve tercih ettiğiniz çözüme bağlanın. Kullanılabilir verileri izleme hakkında daha fazla bilgi edinin.
Dışarı aktarılan veri türlerinin olay şemalarını görüntülemek için Event Hubs olay şemalarını ziyaret edin.
Microsoft Graph Güvenlik API'sini kullanarak Microsoft dışı uygulamalara uyarı akışı yapın
Bulut için Defender yerleşik tümleştirmesi Başka yapılandırma gereksinimlerine gerek kalmadan Microsoft Graph Güvenlik API'sini kullanın.
Bu API'yi kullanarak kiracınızın tamamından (ve birçok Microsoft Güvenlik ürününden alınan veriler) Microsoft dışı SIEM'lere ve diğer popüler platformlara uyarı akışı yapabilirsiniz:
- Splunk Enterprise ve Splunk Bulutu - Splunk için Microsoft Graph Güvenlik API'sini Kullanma Eklentisi
- Power BI - Desktop'ta Microsoft Graph Güvenlik API'sine Power BI Bağlanın.
- ServiceNow ServiceNow - Store'dan Microsoft Graph Güvenlik API'sini yükleyin ve yapılandırın.
- QRadar - Microsoft Graph API aracılığıyla Bulut için Microsoft Defender için IBM'in Cihaz Destek Modülünü kullanın.
- Palo Alto Networks, Anomali, Lookout, InSpark ve daha fazlası - Microsoft Graph Güvenlik API'sini kullanın.
Not
Uyarıları dışarı aktarmanın tercih edilen yolu, Bulut için Microsoft Defender verileri sürekli dışarı aktarmaktır.
Sonraki adımlar
Bu sayfada, Bulut için Microsoft Defender uyarı verilerinizin SIEM, SOAR veya ITSM aracınızda kullanılabilir olmasını nasıl sağlayacağınız açıklanmıştır. İlgili malzemeler için bkz:
- Microsoft Sentinel nedir?
- Bulut için Microsoft Defender uyarı doğrulaması - Uyarılarınızın doğru yapılandırıldığını doğrulayın
- Bulut için Defender verilerini sürekli dışarı aktarma