Transmisión de alertas a una solución de administración de servicios de TI, SIEM o SOAR

Azure Security Center puede transmitir las alertas de seguridad a las soluciones más populares de administración de eventos e información de seguridad (SIEM), respuesta automatizada de orquestación de seguridad (SOAR) y administración de servicios de TI (ITSM).

Existen herramientas nativas de Azure para garantizar que puede ver los datos de las alertas en todas las soluciones más populares que se usan hoy en día, entre las que se incluyen:

  • Azure Sentinel
  • Splunk Enterprise and Splunk Cloud
  • QRadar de IBM
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

Transmisión de alertas a Azure Sentinel

Security Center se integra de forma nativa con Azure Sentinel, la solución SOAR y SIEM nativa de nube de Azure.

Obtenga más información sobre Azure Sentinel.

Conectores de Azure Sentinel para Security Center

Azure Sentinel incluye conectores integrados para Azure Security Center en los niveles de suscripción y de inquilino:

Configuración de la ingesta de todos los registros de auditoría en Azure Sentinel

Otra alternativa para investigar las alertas de Security Center en Azure Sentinel es transmitir los registros de auditoría a Azure Sentinel: - Conexión de eventos de seguridad de Windows - Recopilación de datos de orígenes basados en Linux mediante Syslog - Conectar datos del registro de actividad de Azure

Sugerencia

Azure Sentinel se factura en función del volumen de datos ingeridos para el análisis en Azure Sentinel y almacenados en el área de trabajo de Log Analytics de Azure Monitor. Azure Sentinel ofrece un modelo de precios flexible y predecible. Obtenga más información en la página de precios de Azure Sentinel.

Transmisión de alertas con la Microsoft Graph Security API

Security Center tiene integración integrada con la Microsoft Graph Security API. No se requiere ninguna configuración y no hay costos adicionales.

Puede usar esta API para transmitir alertas del inquilino completo (y datos de muchos otros productos de seguridad de Microsoft) a SIEM de terceros y otras plataformas populares:

Obtenga más información sobre Microsoft Graph Security API.

Transmisión de alertas con Azure Monitor

Para transmitir alertas en ArcSight, Splunk, SumoLogic, servidores Syslog, LogRhythm, plataforma de observabilidad de Logz.io Cloud y otras soluciones de supervisión. Conecte Security Center con Azure monitor a través de Azure Event Hubs:

  1. Habilite la exportación continua para transmitir alertas de Security Center a una instancia dedicada de Azure Event Hubs en el nivel de suscripción.

    Sugerencia

    Para hacer esto en el nivel de grupo de administración mediante Azure Policy, consulte Creación de configuraciones de automatización de exportación continua a gran escala.

  2. Conecte la instancia de Azure Event Hubs a su solución preferida mediante los conectores integrados de Azure Monitor.

  3. También puede transmitir los registros sin procesar a la instancia de Azure Event Hubs y conectarse a su solución preferida. Obtenga más información en Datos de supervisión disponibles.

Sugerencia

Para ver los esquemas de eventos de los tipos de datos exportados, visite el artículo sobre los esquemas de eventos del centro de eventos.

Pasos siguientes

En esta página se explica cómo asegurarse de que los datos de alerta de Azure Security Center estén disponibles en la herramienta SIEM, SOAR o ITSM de su elección. Para obtener material relacionado, consulte: