Streamování upozornění na řešení monitorování

  • Článek

Microsoft Defender pro cloud má možnost streamovat výstrahy zabezpečení do různých řešení zabezpečení informací a událostí (SIEM), SOAR (Security Orchestraation Automated Response) a SPRÁVY IT služeb (ITSM). Výstrahy zabezpečení se generují, když se ve vašich prostředcích zjistí hrozby. Defender for Cloud upřednostňuje a uvádí výstrahy na stránce Výstrahy a další informace potřebné k rychlému prozkoumání problému. Poskytujeme podrobné kroky, které vám pomůžou napravit zjištěné hrozby. Všechna data výstrah se uchovávají po dobu 90 dnů.

K dispozici jsou integrované nástroje Azure, které zajišťují zobrazení dat výstrah v následujících řešeních:

  • Microsoft Sentinel
  • Splunk Enterprise a Splunk Cloud
  • Power BI
  • ServiceNow
  • QRadar od IBM
  • Palo Alto Networks
  • ArcSight

Streamování upozornění do XDR defenderu pomocí rozhraní XDR API defenderu

Program Defender for Cloud se nativně integruje s XDR v programu Microsoft Defender a umožňuje používat incidenty a výstrahy rozhraní API defenderu pro streamování výstrah a incidentů do řešení jiných společností než Microsoft. Zákazníci Defenderu pro cloud mají přístup k jednomu rozhraní API pro všechny produkty zabezpečení Microsoftu a můžou tuto integraci používat jako jednodušší způsob exportu výstrah a incidentů.

Zjistěte, jak integrovat nástroje SIEM s XDR v programu Defender.

Streamování upozornění do Microsoft Sentinelu

Defender for Cloud se nativně integruje s cloudovým řešením SIEM a SOAR v Microsoft Sentinelu .

Konektory Microsoft Sentinelu pro Defender for Cloud

Microsoft Sentinel zahrnuje integrované konektory pro Microsoft Defender for Cloud na úrovni předplatného a tenanta.

Můžete provádět následující akce:

Když připojíte Defender for Cloud ke službě Microsoft Sentinel, stav výstrah Defenderu pro cloud, které se ingestují do Služby Microsoft Sentinel, se synchronizuje mezi těmito dvěma službami. Například když se výstraha zavře v programu Defender for Cloud, zobrazí se tato výstraha také jako uzavřená v Microsoft Sentinelu. Když změníte stav výstrahy v defenderu pro cloud, aktualizuje se také stav výstrahy v Microsoft Sentinelu. Stavy všech incidentů Microsoft Sentinelu, které obsahují synchronizovanou výstrahu Microsoft Sentinelu, se ale neaktualizují.

Funkci synchronizace obousměrných upozornění můžete povolit tak, aby automaticky synchronizovala stav původních upozornění defenderu pro cloud s incidenty Služby Microsoft Sentinel, které obsahují kopie výstrah Defenderu pro cloud. Když se například zavře incident Microsoft Sentinelu, který obsahuje výstrahu Defenderu pro cloud, program Defender for Cloud automaticky zavře odpovídající původní výstrahu.

Zjistěte, jak připojit upozornění z Microsoft Defenderu pro cloud.

Poznámka:

Funkce synchronizace obousměrných upozornění není dostupná v cloudu Azure Government.

Konfigurace příjmu všech protokolů auditu do Microsoft Sentinelu

Další alternativou pro zkoumání upozornění Defenderu for Cloud v Microsoft Sentinelu je streamování protokolů auditu do Microsoft Sentinelu:

Tip

Služba Microsoft Sentinel se účtuje na základě objemu dat, která ingestuje za analýzu v Microsoft Sentinelu a ukládá se do pracovního prostoru služby Azure Monitor Log Analytics. Microsoft Sentinel nabízí flexibilní a předvídatelný cenový model. Další informace najdete na stránce s cenami služby Microsoft Sentinel.

Streamování upozornění na QRadar a Splunk

Pokud chcete exportovat výstrahy zabezpečení do splunku a QRadaru, musíte použít Event Hubs a integrovaný konektor. Pomocí skriptu PowerShellu nebo webu Azure Portal můžete nastavit požadavky na export výstrah zabezpečení pro vaše předplatné nebo tenanta. Jakmile jsou splněné požadavky, musíte použít postup specifický pro každý SIEM k instalaci řešení na platformě SIEM.

Požadavky

Než nastavíte služby Azure pro export výstrah, ujistěte se, že máte:

  • Předplatné Azure (vytvoření bezplatného účtu)
  • Skupina prostředků Azure (vytvoření skupiny prostředků)
  • Role vlastníka oboru výstrah (předplatné, skupina pro správu nebo tenant) nebo tato konkrétní oprávnění:
    • Oprávnění k zápisu pro centra událostí a zásady služby Event Hubs
    • Vytvoření oprávnění pro aplikace Microsoft Entra, pokud nepoužíváte existující aplikaci Microsoft Entra
    • Pokud používáte Azure Policy DeployIfNotExist, přiřaďte oprávnění k zásadám.

Nastavení služeb Azure

Prostředí Azure můžete nastavit tak, aby podporovalo průběžné exporty:

  1. Stáhněte a spusťte skript PowerShellu.

  2. Zadejte požadované parametry.

  3. Spusťte skript.

Skript provede všechny kroky za vás. Po dokončení skriptu použijte výstup k instalaci řešení na platformě SIEM.

portál Azure

  1. Přihlaste se k portálu Azure.

  2. Vyhledejte a vyberte Event Hubs.

  3. Vytvořte obor názvů služby Event Hubs a centrum událostí.

  4. Definujte zásadu centra událostí s oprávněními Send .

Pokud streamujete upozornění na QRadar:

  1. Vytvořte zásadu centra Listen událostí.

  2. Zkopírujte a uložte připojovací řetězec zásady pro použití v QRadar.

  3. Vytvořte skupinu příjemců.

  4. Zkopírujte a uložte název, který chcete použít na platformě SIEM.

  5. Povolte průběžný export výstrah zabezpečení do definovaného centra událostí.

  6. Vytvořte si účet úložiště.

  7. Zkopírujte a uložte připojovací řetězec do účtu, který chcete použít v QRadar.

Podrobnější pokyny najdete v tématu Příprava prostředků Azure pro export do splunku a QRadar.

Pokud streamujete upozornění na Splunk:

  1. Vytvořte aplikaci Microsoft Entra.

  2. Uložte tenanta, ID aplikace a heslo aplikace.

  3. Udělte aplikaci Microsoft Entra oprávnění ke čtení z centra událostí, které jste vytvořili dříve.

Podrobnější pokyny najdete v tématu Příprava prostředků Azure pro export do splunku a QRadar.

Připojení centrum událostí k preferovanému řešení pomocí integrovaných konektorů

Každá platforma SIEM má nástroj, který umožňuje přijímat výstrahy ze služby Azure Event Hubs. Nainstalujte nástroj pro vaši platformu a začněte přijímat výstrahy.

Nástroj Hostované v Azure Popis
IBM QRadar No Microsoft Azure DSM a protokol Microsoft Azure Event Hubs jsou k dispozici ke stažení z webu podpory IBM.
Splunk No Doplněk Splunk pro Microsoft Cloud Services je opensourcový projekt dostupný v splunkbase.

Pokud ve své instanci Splunk nemůžete nainstalovat doplněk, například pokud používáte proxy server nebo používáte Splunk Cloud, můžete tyto události předat kolektoru událostí Splunk pomocí funkce Azure Functions for Splunk, která se aktivuje novými zprávami v centru událostí.

Streamování upozornění s průběžným exportem

Pokud chcete streamovat upozornění na ArcSight, SumoLogic, servery Syslog, LogRhythm, Logz.io Cloud Observability Platform a další řešení monitorování, připojte Defender for Cloud pomocí průběžného exportu a Azure Event Hubs.

Poznámka:

Pokud chcete streamovat upozornění na úrovni tenanta, použijte tuto zásadu Azure a nastavte obor v kořenové skupině pro správu. Budete potřebovat oprávnění pro kořenovou skupinu pro správu, jak je vysvětleno v defenderu pro cloudová oprávnění: Nasazení exportu do centra událostí pro upozornění a doporučení v programu Microsoft Defender for Cloud.

Streamování upozornění s průběžným exportem:

  1. Povolení průběžného exportu:

  2. Připojení centrum událostí k preferovanému řešení pomocí integrovaných konektorů:

    Nástroj Hostované v Azure Popis
    SumoLogic No Pokyny k nastavení sumoLogic pro využívání dat z centra událostí jsou k dispozici v části Shromažďování protokolů pro aplikaci Audit Azure ze služby Event Hubs.
    ArcSight No Inteligentní konektor ArcSight Azure Event Hubs je k dispozici jako součást kolekce inteligentních konektorů ArcSight.
    Server syslogu No Pokud chcete streamovat data služby Azure Monitor přímo na server syslogu, můžete použít řešení založené na funkci Azure.
    LogRhythm No Tady jsou k dispozici pokyny k nastavení LogRhythmu pro shromažďování protokolů z centra událostí.
    Logz.io Ano Další informace najdete v tématu Začínáme s monitorováním a protokolováním pomocí Logz.io pro aplikace v Javě spuštěné v Azure.

  3. (Volitelné) Streamujte nezpracované protokoly do centra událostí a připojte se k preferovanému řešení. Další informace o dostupných datech monitorování

Pokud chcete zobrazit schémata událostí exportovaných datových typů, navštivte schémata událostí služby Event Hubs.

Použití Rozhraní API pro zabezpečení Microsoft Graphu ke streamování upozornění do aplikací jiných společností než Microsoft

Integrovaná integrace Defenderu pro cloud s Microsoft Graphem Rozhraní API pro zabezpečení bez nutnosti dalších požadavků na konfiguraci.

Pomocí tohoto rozhraní API můžete streamovat výstrahy z celého tenanta (a dat z mnoha produktů Microsoft Security) do jiných platforem než Microsoft SIEM a dalších oblíbených platforem:

Poznámka:

Upřednostňovaným způsobem exportu upozornění je průběžný export dat v programu Microsoft Defender for Cloud.

Další kroky

Tato stránka vysvětluje, jak zajistit, aby data výstrah v programu Microsoft Defender for Cloud byla dostupná ve zvoleném nástroji SIEM, SOAR nebo ITSM. Související materiály najdete tady: