Splunk ve QRadar'a dışarı aktarma için Azure kaynaklarını hazırlama

Bulut için Microsoft Defender güvenlik uyarılarını IBM QRadar ve Splunk'a akışla aktarabilmek için Azure'da Event Hubs ve Microsoft Entra Id gibi kaynakları ayarlamanız gerekir. Azure portalında bu kaynakları yapılandırma yönergeleri aşağıdadır, ancak bunları powershell betiği kullanarak da yapılandırabilirsiniz. Uyarıları QRadar ve Splunk'a aktarmak için Azure kaynaklarını yapılandırmadan önce Uyarıları QRadar ve Splunk'a aktarın'ı gözden geçirin.

Azure portalında QRadar ve Splunk için Azure kaynaklarını yapılandırmak için:

1. Adım: Gönderme izinlerine sahip bir Event Hubs ad alanı ve olay hub'ı oluşturma

1. Event Hubs hizmetinde bir Event Hubs ad alanı oluşturun:

   1. Oluştur'u belirleyin.
   2. Ad alanının ayrıntılarını girin, Gözden geçir + oluştur'u seçin ve Oluştur'u seçin.

   

2. Olay hub'ı oluşturma:

   1. Oluşturduğunuz ad alanında + Olay Hub'ı seçin.
   2. Olay hub'ının ayrıntılarını girin, Gözden geçir ve oluştur'u seçin ve Oluştur'u seçin.

3. Paylaşılan erişim ilkesi oluşturun.

   1. Olay Hub'ı menüsünde, oluşturduğunuz Event Hubs ad alanını seçin.
   2. Olay Hub'ı ad alanı menüsünde Event Hubs'ı seçin.
   3. Yeni oluşturduğunuz olay hub'ını seçin.
   4. Olay hub'ı menüsünde Paylaşılan erişim ilkeleri'ni seçin.
   5. Ekle'yi seçin, benzersiz bir ilke adı girin ve Gönder'i seçin.
   6. İlkeyi oluşturmak için Oluştur'u seçin.

2. Adım: QRadar SIEM'e akış için - Dinleme ilkesi oluşturma

1. Ekle'yi seçin, benzersiz bir ilke adı girin ve Dinle'yi seçin.

2. İlkeyi oluşturmak için Oluştur'u seçin.

3. Dinleme ilkesi oluşturulduktan sonra, Bağlan ion dizesi birincil anahtarını kopyalayın ve daha sonra kullanmak üzere kaydedin.

   

3. Adım: Bir tüketici grubu oluşturun, ardından SIEM platformunda kullanmak üzere adı kopyalayıp kaydedin

1. Event Hubs olay hub'ı menüsünün Varlıklar bölümünde Event Hubs'ı seçin ve oluşturduğunuz olay hub'ını seçin.

   

2. Tüketici grubu'nun seçin.

4. Adım: Uyarıların kapsamı için sürekli dışarı aktarmayı etkinleştirme

1. Azure arama kutusunda "ilke" araması yapın ve İlke'ye gidin.

2. İlke menüsünde Tanımlar'ı seçin.

3. "Dışarı aktarmayı dağıt" araması yapın ve yerleşik Bulut için Microsoft Defender veri için Olay Hub'ına dışarı aktarmayı dağıt ilkesini seçin.

4. Ata'yı seçin.

5. Temel ilke seçeneklerini tanımlayın:

   1. Kapsam bölümünde, ilkenin uygulanacağı kapsamı seçmek için ... öğesini seçin.
   2. Kapsamda kök yönetim grubunu (kiracı kapsamı için), yönetim grubunu, aboneliği veya kaynak grubunu bulun ve Seç'i seçin.
      • Kiracı kök yönetim grubu düzeyini seçmek için kiracı düzeyinde izinlere sahip olmanız gerekir.
   3. (İsteğe bağlı) Dışlamalar bölümünde, dışarı aktarmanın dışında tutulacak belirli abonelikleri tanımlayabilirsiniz.
   4. Bir atama adı girin.
   5. İlke zorlamanın etkinleştirildiğinden emin olun.

   

6. İlke parametrelerinde:

   1. Otomasyon kaynağının kaydedildiği kaynak grubunu girin.
   2. Kaynak grubu konumunu seçin.
   3. Olay Hub'ı ayrıntılarının yanındaki ... öğesini seçin ve olay hub'ına ilişkin ayrıntıları girin, örneğin:
      • Abonelik.
      • Oluşturduğunuz Event Hubs ad alanı.
      • Oluşturduğunuz olay hub'ı.
      • Yetkilendirme belgelerinde, uyarı göndermek için oluşturduğunuz paylaşılan erişim ilkesini seçin.

   

7. Event Hubs'a sürekli dışarı aktarmayı tanımlama işlemini tamamlamak için Gözden Geçir ve Oluştur ve Oluştur'u seçin.

   • Kiracıda sürekli dışarı aktarma ilkesini etkinleştirdiğinizde (kök yönetim grubu düzeyinde), uyarılarınızı bu kiracı altında oluşturulacak tüm yeni aboneliklerde otomatik olarak akışla aktardığını unutmayın.

5. Adım: QRadar SIEM'e akış uyarıları için - Depolama hesabı oluşturma

1. Azure portalına gidin, Kaynak oluştur'u seçin ve Depolama hesabı seçin. Bu seçenek gösterilmiyorsa "depolama hesabı" araması yapın.

2. Oluştur'u belirleyin.

3. Depolama hesabının ayrıntılarını girin, Gözden Geçir ve Oluştur'u ve ardından Oluştur'u seçin.

   

4. Depolama hesabınızı oluşturduktan ve kaynağa gittikten sonra menüde Erişim Anahtarları'nı seçin.

5. Anahtarları görmek için Anahtarları göster'i seçin ve Anahtar 1'in bağlantı dizesi kopyalayın.

   

6. Adım: Splunk SIEM'e akış uyarıları için - Microsoft Entra uygulaması oluşturma

1. Menü arama kutusunda "Microsoft Entra Id" için arama yapın ve Microsoft Entra Id'ye gidin.

2. Azure portalına gidin, Kaynak oluştur'u ve ardından Microsoft Entra Id'yi seçin. Bu seçenek gösterilmiyorsa "active directory" araması yapın.

3. Menüden Uygulama kayıtları'ı seçin.

4. Yeni kayıt öğesini seçin.

5. Uygulama için benzersiz bir ad girin ve Kaydet'i seçin.

   

6. Pano'ya kopyalayın ve Uygulama (istemci) kimliğini ve Dizin (kiracı) kimliğini kaydedin.

7. Uygulama için istemci gizli dizisini oluşturun:

   1. Menüde Sertifikalar ve gizli diziler'e gidin.
   2. Belirteç isteğinde bulunarak uygulamanın kimliğini kanıtlamak için bir parola oluşturun:
   3. Yeni gizli anahtar'ı seçin.
   4. Kısa bir açıklama girin, gizli dizinin sona erme zamanını seçin ve Ekle'yi seçin.

   

8. Gizli dizi oluşturulduktan sonra Gizli Dizi Kimliğini kopyalayın ve daha sonra Uygulama Kimliği ve Dizin (kiracı) Kimliği ile birlikte kullanmak üzere kaydedin.

7. Adım: Splunk SIEM'e akış uyarıları için - Microsoft Entra Id'nin olay hub'ından okumasına izin ver

1. Oluşturduğunuz Event Hubs ad alanına gidin.

2. Menüde Erişim denetimi'ne gidin.

3. Ekle'yi ve rol ataması ekle'yi seçin.

4. Rol ataması ekle’yi seçin.

   

5. Roller sekmesinde Azure Event Hubs Veri Alıcısı'nı arayın.

6. İleri'yi seçin.

7. Üye Seç'i seçin.

8. Daha önce oluşturduğunuz Microsoft Entra uygulamasını arayın ve seçin.

9. Kapat'ı seçin.

Uyarıları dışarı aktarmayı ayarlamaya devam etmek için, kullandığınız SIEM için yerleşik bağlayıcıları yükleyin.