將警示串流至監視解決方案

適用於雲端的 Microsoft Defender 可以將安全性警示串流至各種安全性資訊與事件管理 (SIEM)、安全性協調流程自動化回應 (SOAR) 和 IT 服務管理 (ITSM) 解決方案。 當系統偵測到資源上有威脅時，便會產生安全性警示。 適用於雲端的 Defender 會排定警示的優先順序，並在 [警示] 頁面上列出警示，以及要快速調查問題所需的其他資訊。 系統會提供詳細步驟來協助您補救所偵測到的威脅。 所有警示資料會保留 90 天。

有內建的 Azure 工具可供使用，以確保您可以在下列解決方案中檢視警示資料：

• Microsoft Sentinel
• Splunk Enterprise and Splunk Cloud
• Power BI
• ServiceNow
• IBM 的 QRadar
• Palo Alto Networks
• ArcSight

使用 Defender XDR API 將警示串流至 Defender XDR

適用於雲端的 Defender 會與 Microsoft Defender XDR 原生整合，可讓您使用 Defender XDR 的事件和警示 API，將警示和事件串流至非 Microsoft 的解決方案。 適用於雲端的 Defender 客戶可以存取一個適用於所有 Microsoft 安全性產品的 API，並可以使用此整合更輕鬆地匯出警示和事件。

請了解如何整合 SIEM 工具與 Defender XDR。

將警示串流至 Microsoft Sentinel

適用於雲端的 Defender 原生與 Microsoft Sentinel、Azure 的雲端原生 SIEM 和 SOAR 解決方案整合。

Microsoft Sentinel 之適用於雲端的 Defender 連接器

Microsoft Sentinel 在訂閱和租用戶層級包含適用於雲端的 Microsoft Defender 內建連接器。

您可以：

• 將警示串流至訂閱層級的 Microsoft Sentinel。
• 將租用戶中的所有訂閱連線到 Microsoft Sentinel。

當您將適用於雲端的 Defender 連線到 Microsoft Sentinel 時，擷取到 Microsoft Sentinel 中適用於雲端的 Defender 警示狀態會在兩個服務之間同步。 例如，當警示在適用於雲端的 Defender 中關閉時，該警示也會在 Microsoft Sentinel 中顯示為已關閉。 當您在適用於雲端的 Defender 中變更警示的狀態時，Microsoft Sentinel 中的警示狀態也會更新。 不過，對於包含已同步之 Microsoft Sentinel 警示的任何 Microsoft Sentinel 事件，則不會更新其狀態。

您可以啟用雙向警示同步處理功能，自動將原始適用於雲端的 Defender 警示狀態與包含適用於雲端之 Defender 警示複本的 Microsoft Sentinel 事件同步。 例如，當包含適用於雲端之 Defender 警示的 Microsoft Sentinel 事件關閉時，適用於雲端的 Defender 會自動關閉對應的原始警示。

請了解如何從適用於雲端的 Microsoft Defender 連線至警示。

設定將所有稽核記錄擷取到 Microsoft Sentinel 中

另一個在 Microsoft Sentinel 中調查適用於雲端之 Defender 警示的替代方式，就是將您的稽核記錄串流至 Microsoft Sentinel：

• 連線 Windows 安全性事件
• 使用 Syslog 從 Linux 型來源收集資料
• 從 Azure 活動記錄連線資料

提示

Microsoft Sentinel 會根據其所擷取以供 Microsoft Sentinel 分析並儲存在 Azure 監視器 Log Analytics 工作區中的資料量計費。 Microsoft Sentinel 提供彈性且可預測的計價模式。 若要深入了解，請參閱 Microsoft Sentinel 定價頁面。

將警示串流至 QRadar 和 Splunk

若要將安全性警示匯出至 Splunk 和 QRadar，您需要使用事件中樞和內建的連接器。 您可以使用 PowerShell 指令碼或 Azure 入口網站，為您的訂閱或租用戶設定匯出安全性警示的需求。 有了需求之後，您必須使用每個 SIEM 的特定程序，在 SIEM 平台中安裝解決方案。

必要條件

設定用於匯出警示的 Azure 服務之前，請確定您有：

• Azure 訂閱 (建立免費帳戶)
• Azure 資源群組 (建立資源群組)
• 警示範圍 (訂閱、管理群組或租用戶) 的擁有者角色，或是這些特定權限：
  • 事件中樞和事件中樞原則的寫入權限
  • 如果您未使用現有的 Microsoft Entra 應用程式，請建立 Microsoft Entra 應用程式的權限
  • 如果您使用 Azure 原則 'DeployIfNotExist'，請指派原則的權限

設定 Azure 服務

您可以使用下列任一項來設定 Azure 環境，以支援連續匯出：

PowerShell 指令碼 (建議使用)

1. 下載並執行 PowerShell 指令碼。

2. 輸入必要參數。

3. 執行指令碼。

指令碼會為您執行所有步驟。 當指令碼完成時，請使用輸出在 SIEM 平台中安裝解決方案。

Azure 入口網站

1. 登入 Azure 入口網站。

2. 搜尋並選取 Event Hubs。

3. 建立事件中樞命名空間和事件中樞。

4. 使用 Send 權限來定義事件中樞的原則。

如果您要將警示串流至 QRadar：

1. 建立事件中樞 Listen 原則。

2. 複製並儲存原則的連接字串，以在 QRadar 中使用。

3. 建立取用者群組。

4. 複製並儲存要在 SIEM 平台中使用的名稱。

5. 啟用連續匯出，以將安全性警示連續匯出至定義的事件中樞。

6. 建立儲存體帳戶。

7. 複製連接字串並儲存至帳戶，以在 QRadar 中使用。

如需更詳細的指示，請參閱準備要匯出至 Splunk 和 QRadar 的 Azure 資源。

如果您要將警示串流至 Splunk：

1. 建立 Microsoft Entra 應用程式。

2. 儲存租用戶、應用程式識別碼和應用程式密碼。

3. 授與 Microsoft Entra 應用程式權限，以從您之前建立的事件中樞讀取。

如需更詳細的指示，請參閱準備要匯出至 Splunk 和 QRadar 的 Azure 資源。

使用內建連接器將事件中樞連線到您慣用的解決方案

每個 SIEM 平台都有一個工具，可從 Azure 事件中樞接收警示。 請安裝適用於您平台的工具，以開始接收警示。

工具	裝載於 Azure 中	描述
IBM QRadar	No	Microsoft Azure DSM 與 Microsoft Azure 事件中樞通訊協定均可從 IBM 支援網站下載。
Splunk	No	Microsoft 雲端服務 的 Splunk 附加元件是 Splunkbase 中提供的開放原始碼專案。 如果您無法在 Splunk 執行個體中安裝附加元件 (例如，如果您使用 Proxy 或在 Splunk Cloud 上執行)，您可以使用由事件中樞內的新訊息觸發的適用於 Splunk 的 Azure Functions，將這些事件轉送至 Splunk HTTP 事件收集器。

使用連續匯出串流警示

若要將警示串流至 ArcSight、SumoLogic、Syslog 伺服器、LogRhythm、Logz.io Cloud Observability Platform 及其他監視解決方案，請使用連續匯出和 Azure 事件中樞來連線到適用於雲端的 Defender。

注意

若要在租用戶層級串流警示，請使用此 Azure 原則，並在根管理群組設定範圍。 您將需要根管理群組的權限，如適用於雲端的 Defender 權限：針對適用於雲端的 Microsoft Defender 警示和建議來部署匯出至事件中樞中所述。

若要使用連續匯出來串流警示：

1. 啟用連續匯出：

   • 在訂用帳戶層級。
   • 在管理群組層級 (使用 Azure 原則)。

2. 使用內建連接器將事件中樞連線到您慣用的解決方案：

   工具	裝載於 Azure 中	描述
   sumologic	No	如需設定 SumoLogic 以從事件中樞取用資料的指示，請參閱從事件中樞收集 Azure 稽核應用程式的記錄 (英文)。
   ArcSight	No	「ArcSight Azure 事件中樞」智慧型連接器隨附於 ArcSight 智慧型連接器集合。
   Syslog 伺服器	No	如果您想要將 Azure 監視器資料直接串流至 syslog 伺服器，您可以使用以 Azure 函式為基礎的解決方案。
   LogRhythm	No	如需設定 LogRhythm 以從事件中樞收集記錄的指示，請參閱這裡。
   Logz.io	Yes	如需詳細資訊，請參閱針對在 Azure 上執行的 Java 應用程式，使用 Logz.io 開始進行監視和記錄

3. (選擇性) 將原始記錄串流至事件中樞，並連線到您慣用的解決方案。 若要深入了解，請參閱可用的監視資料。

若要檢視所匯出資料類型的事件結構描述，請瀏覽事件中樞事件結構描述。

使用 Microsoft Graph 安全性 API 將警示串流至非 Microsoft 應用程式

適用於雲端的 Defender 與 Microsoft Graph 安全性 API 的內建整合，不需要任何進一步的組態需求。

您可以使用此 API，將來自整個租用戶的警示 (以及來自許多 Microsoft 安全性產品的資料) 串流至非 Microsoft SIEM 和其他熱門平台：

• Splunk Enterprise 和 Splunk Cloud - 使用適用於 Splunk 的 Microsoft Graph 安全性 API 附加元件
• Power BI - 在 Power BI Desktop 中連線至 Microsoft Graph 安全性 API。
• ServiceNow - 從 ServiceNow Store 安裝和設定 Microsoft Graph 安全性 API 應用程式。
• QRadar - 透過 Microsoft Graph API 針對適用於雲端的 Microsoft Defender 使用 IBM 的裝置支援模組。
• Palo Alto Networks、Anomali、Lookout、InSpark 等 - 使用 Microsoft Graph 安全性 API。

注意

比較好的警示匯出方式是透過連續匯出適用於雲端的 Microsoft Defender 資料。

下一步

此頁面說明如何確保適用於雲端的 Microsoft Defender 警示資料可在您選擇的 SIEM、SOAR 或 ITSM 工具中使用。 如需相關內容，請參閱：

• 什麼是 Microsoft Sentinel？
• 適用於雲端之 Microsoft Defender 中的警示驗證 - 確認已正確設定您的警示
• 持續匯出適用於雲端的 Defender 資料