دفق التنبيهات إلى حل إدارة خدمة SIEM أو SOAR أو تكنولوجيا المعلومات

  • مقالة
  • قراءة خلال 6 دقائق

يمكن ل Microsoft Defender for Cloud دفق تنبيهات الأمان الخاصة بك إلى حلول معلومات الأمان وإدارة الأحداث (SIEM) الأكثر شيوعا والاستجابة التلقائية لتنسيق الأمان (SOAR) وإدارة خدمات تكنولوجيا المعلومات (ITSM). تنبيهات الأمان هي إشعارات يولدها Defender for Cloud عندما يكتشف التهديدات على مواردك. تعطي Defender for Cloud الأولوية للتنبيهات ويسردها، إلى جانب المعلومات المطلوبة لك لفحص المشكلة بسرعة. يوفر Defender for Cloud أيضا خطوات مفصلة لمساعدتك في معالجة الهجمات. يتم الاحتفاظ ببيانات التنبيهات لمدة 90 يوما.

هناك أدوات Azure مضمنة لضمان إمكانية عرض بيانات التنبيه الخاصة بك في جميع الحلول الأكثر شيوعا المستخدمة اليوم، بما في ذلك:

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • QRadar من IBM
  • ServiceNow
  • ArcSight
  • Power BI
  • شبكات Palo Alto

دفق التنبيهات إلى Microsoft Sentinel

يتكامل Defender for Cloud أصلا مع Microsoft Sentinel ، وهو حل SIEM و SOAR الأصلي من Azure.

تعرف على المزيد حول Microsoft Sentinel.

موصلات Microsoft Sentinel ل Defender for Cloud

يتضمن Microsoft Sentinel موصلات مضمنة ل Microsoft Defender for Cloud على مستوى الاشتراك والمستأجر:

عند توصيل Defender for Cloud ب Microsoft Sentinel، تتم مزامنة حالة تنبيهات Defender for Cloud التي يتم استيعابها في Microsoft Sentinel بين الخدمتين. لذلك ، على سبيل المثال ، عندما يتم إغلاق تنبيه في Defender for Cloud ، يظهر هذا التنبيه أيضا على أنه مغلق في Microsoft Sentinel. إذا قمت بتغيير حالة تنبيه في Defender for Cloud، أيضا تحديث حالة التنبيه في Microsoft Sentinel، ولكن لا يتم تحديث حالات أي حوادث Microsoft Sentinel تحتوي على تنبيه Microsoft Sentinel المتزامن.

يمكنك تمكين ميزة مزامنة التنبيه ثنائي الاتجاه لمزامنة حالة تنبيهات Defender for Cloud الأصلية تلقائيا مع حوادث Microsoft Sentinel التي تحتوي على نسخ من تنبيهات Defender for Cloud هذه. لذلك ، على سبيل المثال ، عند إغلاق حادث Microsoft Sentinel يحتوي على تنبيه Defender for Cloud ، يقوم Defender for Cloud تلقائيا بإغلاق التنبيه الأصلي المقابل.

تعرف على المزيد في تنبيهات الاتصال من Microsoft Defender for Cloud.

ملاحظة

لا تتوفر ميزة مزامنة التنبيه ثنائي الاتجاه في السحابة Azure Government.

تكوين استيعاب كافة سجلات التدقيق في Microsoft Sentinel

بديل آخر للتحقيق في تنبيهات Defender for Cloud في Microsoft Sentinel هو دفق سجلات التدقيق الخاصة بك إلى Microsoft Sentinel:

تلميح

تتم فوترة Microsoft Sentinel استنادا إلى حجم البيانات التي تستوعبها للتحليل في Microsoft Sentinel وتخزنها في مساحة عمل Azure Monitor Log Analytics. يقدم Microsoft Sentinel نموذج تسعير مرن ويمكن التنبؤ به. تعرف على المزيد في صفحة تسعير Microsoft Sentinel.

بث التنبيهات إلى QRadar و Splunk

يستخدم تصدير تنبيهات الأمان إلى Splunk و QRadar محاور الأحداث وموصل مدمج. يمكنك إما استخدام برنامج PowerShell نصي أو مدخل Azure لإعداد متطلبات تصدير تنبيهات الأمان لاشتراكك أو مستأجرك. ثم ستحتاج إلى استخدام الإجراء الخاص بكل SIEM لتثبيت الحل في النظام الأساسي SIEM.

المتطلبات الأساسية

قبل إعداد خدمات Azure لتصدير التنبيهات، تأكد من أن لديك:

  • اشتراك Azure (إنشاء حساب مجاني)
  • مجموعة موارد Azure (إنشاء مجموعة موارد)
  • دور المالك في نطاق التنبيهات (الاشتراك أو مجموعة الإدارة أو المستأجر)، أو الأذونات المحددة التالية:
    • أذونات الكتابة لمراكز الأحداث ونهج مركز الأحداث
    • إنشاء أذونات لتطبيقات Azure AD، إذا كنت لا تستخدم تطبيقا Azure AD موجودا
    • تعيين أذونات للسياسات، إذا كنت تستخدم نهج Azure 'DeployIfNotExist'

الخطوة 1 إعداد خدمات Azure

يمكنك إعداد بيئة Azure لدعم التصدير المستمر باستخدام إما:

  • برنامج نصي PowerShell (مستحسن)

    قم بتنزيل البرنامج النصي PowerShell وتشغيله. أدخل المعلمات المطلوبة ويقوم البرنامج النصي بتنفيذ جميع الخطوات نيابة عنك. عند انتهاء البرنامج النصي ، فإنه يخرج المعلومات التي ستستخدمها لتثبيت الحل في النظام الأساسي SIEM.

  • مدخل Azure

    فيما يلي نظرة عامة على الخطوات التي ستقوم بها في مدخل Azure:

    1. إنشاء مساحة اسم مراكز الأحداث ومركز الأحداث.
    2. حدد سياسة لمركز الأحداث باستخدام أذونات "الإرسال".
    3. إذا كنت تقوم ببث التنبيهات إلى QRadar - أنشئ سياسة "استماع" لمركز الأحداث، فانسخ سلسلة الاتصال الخاصة بالسياسة التي ستستخدمها في QRadar واحفظها.
    4. أنشئ مجموعة مستهلكين، ثم انسخ الاسم الذي ستستخدمه في النظام الأساسي SIEM واحفظه.
    5. تمكين التصدير المستمر لتنبيهات الأمان إلى مركز الحدث المحدد.
    6. إذا كنت تقوم ببث التنبيهات إلى QRadar - فقم بإنشاء حساب تخزين، ثم انسخ سلسلة الاتصال واحفظها في الحساب الذي ستستخدمه في QRadar.
    7. إذا كنت تقوم ببث التنبيهات إلى Splunk:
      1. إنشاء تطبيق Azure Active Directory (AD).
      2. احفظ كلمة مرور المستأجر ومعرف التطبيق والتطبيق.
      3. امنح أذونات للتطبيق Azure AD للقراءة من مركز الأحداث الذي أنشأته من قبل.

    للحصول على إرشادات أكثر تفصيلا، راجع إعداد موارد Azure للتصدير إلى Splunk وQRadar.

الخطوة 2 الاتصال مركز الأحداث إلى الحل المفضل لديك باستخدام الموصلات المضمنة

يحتوي كل نظام أساسي من SIEM على أداة لتمكينه من تلقي التنبيهات من مراكز أحداث Azure. قم بتثبيت الأداة للنظام الأساسي الخاص بك لبدء تلقي التنبيهات.

الأداة مستضاف في Azure الوصف
IBM QRadar لا يتوفر Microsoft Azure DSM وبروتوكول Microsoft Azure Event Hubs للتنزيل من موقع ويب دعم IBM.
Splunk لا المكون الإضافي Splunk للخدمات السحابية من Microsoft عبارة عن مشروع مفتوح المصدر متاح في Splunkbase.

إذا لم تتمكن من تثبيت وظيفة إضافية في مثيل Splunk، على سبيل المثال إذا كنت تستخدم وكيلا أو تعمل على Splunk Cloud، فيمكنك إعادة توجيه هذه الأحداث إلى Splunk HTTP Event Collector باستخدام Azure Function For Splunk، والذي يتم تشغيله بواسطة رسائل جديدة في مركز الأحداث.

تنبيهات البث مع التصدير المستمر

لدفق التنبيهات إلى ArcSightوSumoLogicوخوادم SyslogوLogRhythmLogz.io Cloud Observability Platform وحلول المراقبة الأخرى، قم بتوصيل Defender for Cloud باستخدام التصدير المستمر ومراكز أحداث Azure:

ملاحظة

لدفق التنبيهات على مستوى المستأجر، استخدم نهج Azure هذا وقم بتعيين النطاق في مجموعة إدارة الجذر. ستحتاج إلى أذونات لمجموعة إدارة الجذر كما هو موضح في أذونات Defender for Cloud: نشر التصدير إلى مركز أحداث ل Microsoft Defender لتنبيهات وتوصيات السحابة.

  1. قم بتمكين التصدير المستمر لدفق تنبيهات Defender for Cloud إلى مركز أحداث مخصص على مستوى الاشتراك. للقيام بذلك على مستوى مجموعة الإدارة باستخدام نهج Azure، راجع إنشاء تكوينات أتمتة مستمرة للتصدير على نطاق واسع.

  2. الاتصال مركز الأحداث إلى الحل المفضل لديك باستخدام الموصلات المضمنة:

    الأداة مستضاف في Azure الوصف
    SumoLogic لا تتوفر إرشادات إعداد SumoLogic لاستهلاك البيانات من مركز أحداث في تجميع السجلات لتطبيق تدقيق Azure من مراكز الأحداث.
    ArcSight لا يتوفر الموصل الذكي ArcSight Azure Event Hubs كجزء من مجموعة موصلات ArcSight الذكية.
    خادم Syslog لا إذا كنت تريد بثّ بيانات Azure Monitor مباشرةً إلى خادم Syslog، فيمكنك استخدام حل يستند إلى دالة Azure.
    LogRhythm لا يمكن الاطلاع على إرشادات لإعداد LogRhythm لجمع السجلات من مركز الأحداث من هنا.
    Logz.io نعم للحصول على مزيدٍ من المعلومات، راجع البدء في المراقبة والتسجيل باستخدام Logz.io لتطبيقات Java التي تعمل على Azure.

  3. اختياريا، يمكنك دفق السجلات الأولية إلى مركز الأحداث والاتصال بالحل المفضل لديك. تعرف على المزيد في مراقبة البيانات المتاحة.

لعرض مخططات الأحداث لأنواع البيانات المصدرة، تفضل بزيارة مخططات أحداث مراكز الأحداث.

استخدام Microsoft Graph واجهة برمجة تطبيقات الأمان دفق التنبيهات إلى تطبيقات الجهات الخارجية

كبديل ل Microsoft Sentinel و Azure Monitor ، يمكنك استخدام Defender للتكامل المدمج في Cloud مع Microsoft Graph واجهة برمجة تطبيقات الأمان. لا يلزم إجراء أي تكوين ولا توجد تكاليف إضافية.

يمكنك استخدام واجهة برمجة التطبيقات هذه لدفق التنبيهات من المستأجر بالكامل (والبيانات من العديد من منتجات أمان Microsoft) إلى SIEMs التابعة لجهات خارجية والأنظمة الأساسية الشائعة الأخرى:

الخطوات التالية

توضح هذه الصفحة كيفية التأكد من توفر بيانات تنبيه Microsoft Defender for Cloud في أداة SIEM أو SOAR أو ITSM التي تختارها. للاطلاع على المواد ذات الصلة، انظر: