Riasztások streamelése SIEM-, SOAR- vagy IT-szolgáltatáskezelési megoldásba

Felhőhöz készült Microsoft Defender a biztonsági riasztásokat a legnépszerűbb biztonsági információk és események kezelése (SIEM), a Biztonsági vezénylés automatikus válasz (SOAR) és az IT Service Management (ITSM) megoldásokba streamelheti. A biztonsági riasztások olyan értesítések, amelyeket Felhőhöz készült Defender generálnak, amikor fenyegetéseket észlel az erőforrásokon. Felhőhöz készült Defender rangsorolja és listázza a riasztásokat, valamint a probléma gyors kivizsgálásához szükséges információkat. Felhőhöz készült Defender részletes lépéseket is tartalmaz a támadások elhárításához. A riasztások adatai 90 napig maradnak meg.

Vannak beépített Azure-eszközök, amelyek biztosítják, hogy a riasztási adatokat a jelenleg használt összes legnépszerűbb megoldásban megtekinthesse, beleértve a következőket:

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • IBM QRadar
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

Riasztások streamelése a Microsoft Sentinelbe

Felhőhöz készült Defender natív módon integrálható a Microsoft Sentinellel, az Azure natív felhőalapú SIEM- és SOAR-megoldásával.

További információ a Microsoft Sentinelről.

A Microsoft Sentinel összekötői Felhőhöz készült Defender

A Microsoft Sentinel beépített összekötőket tartalmaz Felhőhöz készült Microsoft Defender előfizetési és bérlői szinten:

Amikor csatlakoztatja Felhőhöz készült Defender a Microsoft Sentinelhez, a rendszer szinkronizálja a Microsoft Sentinelbe betöltött Felhőhöz készült Defender riasztások állapotát a két szolgáltatás között. Így például ha egy riasztást bezárnak Felhőhöz készült Defender, az a Microsoft Sentinelben is lezártként jelenik meg. Ha módosítja egy riasztás állapotát Felhőhöz készült Defender, a Microsoft Sentinelben a riasztás állapota is frissül, de a szinkronizált Microsoft Sentinel-riasztást tartalmazó Microsoft Sentinel-incidensek állapota nem frissül.

Engedélyezheti, hogy a kétirányú riasztásszinkronizálási szolgáltatás automatikusan szinkronizálja az eredeti Felhőhöz készült Defender riasztások állapotát a Microsoft Sentinel incidenseivel, amelyek tartalmazzák a Felhőhöz készült Defender riasztások másolatait. Így például ha egy Felhőhöz készült Defender riasztást tartalmazó Microsoft Sentinel-incidens bezárul, Felhőhöz készült Defender automatikusan bezárja a megfelelő eredeti riasztást.

További információ az Felhőhöz készült Microsoft Defender riasztásaival kapcsolatos Csatlakozás.

Megjegyzés

A kétirányú riasztásszinkronizálási funkció nem érhető el a Azure Government felhőben.

Az összes auditnapló Microsoft Sentinelbe való betöltésének konfigurálása

A Microsoft Sentinelben a Felhőhöz készült Defender riasztások vizsgálatának másik alternatíva az auditnaplók a Microsoft Sentinelbe való streamelése:

Tipp

A Microsoft Sentinel számlázása azon adatok mennyisége alapján történik, amelyeket a Microsoft Sentinel elemzéshez betölt, és amelyeket az Azure Monitor Log Analytics-munkaterületen tárol. A Microsoft Sentinel rugalmas és kiszámítható díjszabási modellt kínál. További információt a Microsoft Sentinel díjszabási oldalán talál.

Riasztások streamelése a QRadarba és a Splunkba

A biztonsági riasztások Splunkba és QRadarba való exportálása az Event Hubsot és egy beépített összekötőt használ. Használhat PowerShell-szkriptet vagy a Azure Portal az előfizetés vagy a bérlő biztonsági riasztásainak exportálására vonatkozó követelmények beállításához. Ezután az egyes SIEM-ekre jellemző eljárással kell telepítenie a megoldást az SIEM platformon.

Előfeltételek

Mielőtt beállítja az Azure-szolgáltatásokat a riasztások exportálásához, győződjön meg arról, hogy rendelkezik a következő szolgáltatásokkal:

  • Azure-előfizetés (ingyenes fiók létrehozása)
  • Azure-erőforráscsoport (erőforráscsoport létrehozása)
  • Tulajdonosi szerepkör a riasztások hatókörében (előfizetés, felügyeleti csoport vagy bérlő), vagy ezek a konkrét engedélyek:
    • Írási engedélyek az Event Hubshoz és az Event Hub-szabályzathoz
    • Engedélyek létrehozása Azure AD alkalmazásokhoz, ha nem használ meglévő Azure AD alkalmazást
    • Engedélyek hozzárendelése szabályzatokhoz, ha a "DeployIfNotExist" Azure Policy használja

1. lépés Az Azure-szolgáltatások beállítása

Az Azure-környezetet a következő lehetőségekkel állíthatja be a folyamatos exportálás támogatásához:

  • PowerShell-szkript (ajánlott)

    Töltse le és futtassa a PowerShell-szkriptet. Adja meg a szükséges paramétereket, és a szkript végrehajtja az összes lépést. Amikor a szkript befejeződik, kimenetként adja ki a megoldás SIEM-platformon való telepítéséhez használni kívánt információkat.

  • Azure Portal

    Az alábbiakban áttekintheti az Azure Portal lépéseit:

    1. Hozzon létre egy Event Hubs-névteret és egy eseményközpontot.
    2. Definiáljon egy szabályzatot az eseményközponthoz "Küldés" engedélyekkel.
    3. Ha riasztásokat streamel a QRadarba – Hozzon létre egy "Figyelés" eseményközpont-szabályzatot, majd másolja és mentse a QRadarban használni kívánt szabályzat kapcsolati sztring.
    4. Hozzon létre egy fogyasztói csoportot, majd másolja és mentse a SIEM platformon használni kívánt nevet.
    5. A biztonsági riasztások folyamatos exportálásának engedélyezése a meghatározott eseményközpontba.
    6. Ha riasztásokat streamel a QRadarba – Hozzon létre egy tárfiókot, majd másolja és mentse a kapcsolati sztring a QRadarban használni kívánt fiókba.
    7. Ha riasztásokat streamel a Splunkba:
      1. Hozzon létre egy Azure Active Directory(AD)-alkalmazást.
      2. Mentse a bérlőt, az alkalmazásazonosítót és az alkalmazásjelszót.
      3. Adjon engedélyeket a Azure AD-alkalmazásnak, hogy olvasni tudjon a korábban létrehozott eseményközpontból.

    Részletesebb útmutatásért lásd: Azure-erőforrások előkészítése a Splunkba és a QRadarba való exportáláshoz.

2. lépés Csatlakozás az eseményközpontot a kívánt megoldáshoz a beépített összekötők használatával

Minden SIEM-platform rendelkezik egy eszközzel, amely lehetővé teszi, hogy riasztásokat fogadjon Azure Event Hubs. Telepítse a platform eszközét a riasztások fogadásának megkezdéséhez.

Eszköz Az Azure-ban üzemeltetve Description
IBM QRadar No A Microsoft Azure DSM és Microsoft Azure Event Hubs Protocol az IBM támogatási webhelyéről tölthető le.
Splunk No A Microsoft Cloud Services Splunk bővítménye egy nyílt forráskód projekt, amely elérhető a SplunkBase-ben.

Ha nem tud bővítményt telepíteni a Splunk-példányban, például ha proxyt használ vagy Splunk Cloudon fut, ezeket az eseményeket továbbíthatja a Splunk HTTP-eseménygyűjtőbe az Azure Function For Splunk használatával, amelyet az eseményközpont új üzenetei aktiválnak.

Riasztások streamelése folyamatos exportálással

Ha riasztásokat szeretne streamelni az ArcSightba, a SumoLogicba, a Syslog-kiszolgálókba, a LogRhythmbe, a Logz.io Cloud Observability Platformba és más monitorozási megoldásokba, csatlakozzon Felhőhöz készült Defender folyamatos exportálással és Azure Event Hubs:

Megjegyzés

A riasztások bérlői szinten való streameléséhez használja ezt az Azure-szabályzatot, és állítsa be a hatókört a gyökérszintű felügyeleti csoportban. Engedélyekre lesz szüksége a gyökérszintű felügyeleti csoporthoz, amint azt Felhőhöz készült Defender engedélyek ismertetik: Exportálás telepítése eseményközpontba Felhőhöz készült Microsoft Defender riasztásokhoz és javaslatokhoz.

  1. Engedélyezze a folyamatos exportálást, hogy Felhőhöz készült Defender riasztásokat egy dedikált eseményközpontba streamelje az előfizetés szintjén. Ha ezt a felügyeleti csoport szintjén szeretné elvégezni Azure Policy használatával, tekintse meg a folyamatos exportálási automatizálási konfigurációk nagy léptékű létrehozását.

  2. Csatlakozás az eseményközpontot a kívánt megoldáshoz a beépített összekötőkkel:

    Eszköz Az Azure-ban üzemeltetve Description
    SumoLogic No A SumoLogic eseményközpontból származó adatok felhasználására való beállítására vonatkozó utasítások az Azure Audit App naplóinak összegyűjtése az Event Hubsból című témakörben érhetők el.
    ArcSight No Az ArcSight Azure Event Hubs intelligens összekötő az ArcSight intelligens összekötők gyűjteményének részeként érhető el.
    Syslog-kiszolgáló No Ha közvetlenül egy syslog-kiszolgálóra szeretné streamelni az Azure Monitor-adatokat, használhat egy Azure-függvényen alapuló megoldást.
    LogRhythm No Itt talál útmutatást a LogRhythm eseményközpontból történő gyűjtéséhez történő beállításához.
    Logz.io Yes További információ: Bevezetés az Azure-ban futó Java-alkalmazások Logz.io használatával történő monitorozásba és naplózásba
  3. Igény szerint streamelje a nyers naplókat az eseményközpontba, és csatlakozzon az előnyben részesített megoldáshoz. További információ az elérhető monitorozási adatokról.

Az exportált adattípusok eseménysémáinak megtekintéséhez látogasson el az Event Hubs eseménysémáira.

Riasztások streamelése külső alkalmazásokba a Microsoft Graph Biztonság használatával

A Microsoft Sentinel és az Azure Monitor alternatívájaként használhatja Felhőhöz készült Defender Microsoft Graph Biztonság beépített integrációját. Nincs szükség konfigurációra, és nincsenek további költségek.

Ezzel az API-val riasztásokat streamelhet a teljes bérlőről (és számos Microsoft Security-termékről származó adatokat) külső SIEM-ekre és más népszerű platformokra:

Következő lépések

Ez a lap azt ismerteti, hogyan biztosíthatja, hogy a Felhőhöz készült Microsoft Defender riasztási adatok elérhetők legyenek a választott SIEM-, SOAR- vagy ITSM-eszközben. A kapcsolódó anyagokkal kapcsolatban lásd: