你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

将警报流式传输到监视解决方案

Microsoft Defender for Cloud 能够将安全警报流式传输到各种安全信息和事件管理 (SIEM)、安全业务流程自动响应 (SOAR) 和 IT 服务管理 (ITSM) 解决方案。 在资源上检测到威胁时，将生成安全警报。 Defender for Cloud 按优先级列出“警报”页上的警报，以及快速调查问题所需的其他信息。 提供了详细步骤来帮助你修正检测到的威胁。 所有警报数据将保留 90 天。

可用的内置 Azure 工具可确保能够在以下解决方案中查看警报数据：

• Microsoft Sentinel
• Splunk Enterprise and Splunk Cloud
• Power BI
• ServiceNow
• IBM 的 QRadar
• Palo Alto Networks
• ArcSight

使用 Defender XDR API 将警报流式传输到 Defender XDR

Defender for Cloud 与 Microsoft Defender XDR 原生集成，允许使用 Defender XDR 的事件和警报 API 将警报和事件流式传输到非 Microsoft 解决方案中。 Defender for Cloud 客户可以访问所有 Microsoft 安全产品的一个 API，并可以使用此集成作为导出警报和事件的更简单方法。

了解如何将 SIEM 工具与 Defender XDR 集成。

将警报流式传输到 Microsoft Sentinel

Defender for Cloud 原生与 Microsoft Sentinel Azure 的云原生 SIEM 和 SOAR 解决方案集成。

适用于 Defender for Cloud 的 Microsoft Sentinel 连接器

Microsoft Sentinel 在订阅和租户级别包含适用于 Microsoft Defender for Cloud 的内置连接器。

你可以：

• 在订阅级别将警报流式传输到 Microsoft Sentinel。
• 将租户中的所有订阅连接到 Microsoft Sentinel。

将 Defender for Cloud 连接到 Microsoft Sentinel 时，引入到 Microsoft Sentinel 中的 Defender for Cloud 警报的状态将在两个服务之间同步。 例如，当某个警报在 Defender for Cloud 中处于已关闭状态时，该警报在 Microsoft Sentinel 中也会显示为已关闭。 在 Defender for Cloud 中更改警报的状态时，Microsoft Sentinel 中的警报状态也会更新。 但是，包含同步的 Microsoft Sentinel 警报的任何 Microsoft Sentinel 事件的状态都不会更新。

可启用“双向警报同步”功能，以自动将原始 Defender for Cloud 警报的状态与包含 Defender for Cloud 警报副本的 Microsoft Sentinel 事件的状态同步。 例如，当关闭包含 Defender for Cloud 警报的 Microsoft Sentinel 事件时，Defender for Cloud 将自动关闭相应的原始警报。

了解如何从 Microsoft Defender for Cloud 连接警报。

注意

双向警报同步功能在云中 Azure 政府不可用。

配置将所有审核日志引入 Microsoft Sentinel

在 Microsoft Sentinel 中调查 Defender for Cloud 警报的另一种方法是将审核日志流式传输到 Microsoft Sentinel：

• 连接 Windows 安全事件
• 使用 Syslog 从基于 Linux 的源收集数据
• 连接 Azure 活动日志中的数据

提示

我们将根据 Microsoft Sentinel 中为分析引入的数据量和 Azure Monitor Log Analytics 工作区中存储的数据量对 Microsoft Sentinel 进行计费。 Microsoft Sentinel 提供灵活、可预测的定价模型。 在 Microsoft Sentinel 定价页中了解详细信息。

将警报流式传输到 QRadar 和 Splunk

若要将安全警报导出到 Splunk 和 QRadar，需要使用事件中心和内置连接器。 可以使用 PowerShell 脚本或 Azure 门户设置为订阅或租户导出安全警报的要求。 满足要求后，需要使用特定于每个 SIEM 的过程在 SIEM 平台中安装解决方案。

先决条件

在设置 Azure 服务以便导出警报之前，请确保你具有：

• Azure 订阅（创建免费帐户）
• Azure 资源组（创建资源组）
• 警报范围（订阅、管理组或租户）的所有者角色或以下特定权限：
  • 事件中心和事件中心策略的写入权限
  • Microsoft Entra 应用程序的创建权限（如果不使用现有 Microsoft Entra 应用程序）
  • 策略的分配权限（如果使用 Azure Policy“DeployIfNotExist”）

设置 Azure 服务

可以使用以下任一方法设置 Azure 环境以支持连续导出：

PowerShell 脚本（推荐）

1. 下载并运行 PowerShell 脚本。

2. 输入所需的参数。

3. 执行该脚本。

该脚本会为你执行所有步骤。 脚本完成后，使用输出在 SIEM 平台中安装解决方案。

Azure 门户

1. 登录 Azure 门户。

2. 搜索并选择 Event Hubs。

3. 创建事件中心命名空间和事件中心。

4. 使用 Send 权限为事件中心定义策略。

如果要将警报流式传输到 QRadar：

1. 创建事件中心 Listen 策略。

2. 复制并保存要在 QRadar 中使用的策略的连接字符串。

3. 创建使用者组。

4. 复制并保存要在 SIEM 平台中使用的名称。

5. 启用安全警报到已定义事件中心的连续导出。

6. 创建存储帐户。

7. 复制并保存要在 QRadar 中使用的帐户的连接字符串。

有关更多详细说明，请参阅 准备 Azure 资源以便导出到 Splunk 和 QRadar。

如果要将警报流式传输到 Splunk：

1. 创建 Microsoft Entra 应用程序。

2. 保存租户、应用 ID 和应用密码。

3. 向 Microsoft Entra 应用程序授予从之前创建的事件中心进行读取的权限。

有关更多详细说明，请参阅 准备 Azure 资源以便导出到 Splunk 和 QRadar。

使用内置连接器将事件中心连接到首选解决方案

每个 SIEM 平台都有一个工具，使它能够从 Azure 事件中心接收警报。 安装适用于平台的工具以开始接收警报。

工具	在 Azure 中托管	说明
IBM QRadar	否	Microsoft Azure DSM 和 Microsoft Azure 事件中心协议可从 IBM 支持网站下载。
Splunk	否	适用于 Microsoft 云服务的 Splunk 附加产品是 Splunkbase 提供的开源项目。 如果无法在 Splunk 实例中安装加载项（例如，如果使用代理或在 Splunk Cloud 上运行），则可以使用适用于 Splunk 的 Azure 函数（由事件中心内的新消息触发）将这些事件转发到 Splunk HTTP 事件收集器。

使用连续导出流式传输警报

若要将警报流式传输到 ArcSight、SumoLogic、Syslog 服务器、LogRhythm、Logz.io Cloud Observability Platform 和其他监视解决方案，请使用连续导出和 Azure 事件中心连接 Defender for Cloud。

注意

若要在租户级别流式传输警报，请使用此 Azure 策略并在根管理组设置范围。 需要根管理组的权限，如 Defender for Cloud 权限中所述：将导出部署到事件中心以获取 Microsoft Defender for Cloud 警报和建议。

使用连续导出流式传输警报：

1. 启用连续导出：

   • 在订阅级别。
   • 在管理组级别使用 Azure Policy。

2. 使用内置连接器将事件中心连接到首选解决方案：

   工具	在 Azure 中托管	说明
   SumoLogic	否	从事件中心收集 Azure 审核应用的日志中提供了有关设置 SumoLogic，以使用事件中心数据的说明。
   ArcSight	否	ArcSight Azure 事件中心智能连接器作为 ArcSight 智能连接器集合的一部分提供。
   Syslog 服务器	否	若要将 Azure Monitor 数据直接流式传输到 syslog 服务器，可以使用基于 Azure 函数的解决方案。
   LogRhythm	否	此处提供了有关设置 LogRhythm，以从事件中心收集日志的说明。
   Logz.io	是	有关详细信息，请参阅开始使用用于在 Azure 上运行的 Java 应用的 Logz.io 进行监视和日志记录

3. （可选）将原始日志流式传输到事件中心并连接到首选解决方案。 有关详细信息，请参阅提供的监视数据。

若要查看导出的数据类型的事件架构，请访问事件中心事件架构。

使用 Microsoft Graph 安全性 API 将警报流式传输到非 Microsoft 应用程序

Defender for Cloud 与 Microsoft Graph 安全性 API 内置集成，无需任何进一步的配置要求。

可以使用此 API 将警报从整个租户（以及许多 Microsoft 安全产品的数据）流式传输到非 Microsoft SIEM 和其他常用平台：

• Splunk Enterprise and Splunk Cloud - 使用适用于 Splunk 的 Microsoft Graph 安全性 API 附加产品
• Power BI - 连接到 Power BI Desktop 中的 Microsoft Graph 安全性 API。
• ServiceNow - 从 ServiceNow Store 中安装和配置 Microsoft Graph 安全性 API 应用程序。
• QRadar - 通过 Microsoft Graph API 将 IBM 的设备支持模块用于 Microsoft Defender for Cloud。
• Palo Alto Networks、Anomali、Lookout、InSpark 等 - 使用 Microsoft Graph 安全性 API。

注意

导出警报的首选方法是通过持续导出 Microsoft Defender for Cloud 数据。

后续步骤

本页介绍了如何确保 Microsoft Defender for Cloud 警报数据在所选的 SIEM、SOAR 或 ITSM 工具中可用。 如需查看相关材料，请参阅：

• 什么是 Microsoft Sentinel？
• Microsoft Defender for Cloud 中的警报验证 - 验证是否正确配置了警报
• 连续导出 Defender for Cloud 数据