Azure-erőforrások előkészítése a Splunkba és a QRadarba való exportáláshoz

Ahhoz, hogy Felhőhöz készült Microsoft Defender biztonsági riasztásokat streamelhessen az IBM QRadarba és a Splunkba, be kell állítania az azure-beli erőforrásokat, például az Event Hubsot és a Microsoft Entra ID-t. Az alábbiakban bemutatjuk, hogyan konfigurálhatja ezeket az erőforrásokat az Azure Portalon, de PowerShell-szkripttel is konfigurálhatja őket. Mielőtt konfigurálja az Azure-erőforrásokat a riasztások QRadarba és Splunkba való exportálásához, tekintse át a Stream-riasztásokat a QRadarba és a Splunkba.

A QRadar és a Splunk Azure-erőforrásainak konfigurálása az Azure Portalon:

1. lépés: Event Hubs-névtér és eseményközpont létrehozása küldési engedélyekkel

  1. Az Event Hubs szolgáltatásban hozzon létre egy Event Hubs-névteret:

    1. Válassza a Létrehozás lehetőséget.
    2. Adja meg a névtér részleteit, válassza a Véleményezés + létrehozás lehetőséget, majd a Létrehozás lehetőséget.

    Screenshot of creating an Event Hubs namespace in Microsoft Event Hubs.

  2. Eseményközpont létrehozása:

    1. A létrehozott névtérben válassza a + Event Hub lehetőséget.
    2. Adja meg az eseményközpont részleteit, és válassza a Véleményezés + létrehozás lehetőséget, majd a Létrehozás lehetőséget.
  3. Hozzon létre egy megosztott hozzáférési szabályzatot.

    1. Az Event Hub menüben válassza ki a létrehozott Event Hubs-névteret.
    2. Az Event Hub névtér menüjében válassza az Event Hubs lehetőséget.
    3. Válassza ki az imént létrehozott eseményközpontot.
    4. Az eseményközpont menüjében válassza a Megosztott hozzáférési szabályzatok lehetőséget.
    5. Válassza a Hozzáadás lehetőséget, adjon meg egy egyedi házirendnevet, majd válassza a Küldés lehetőséget.
    6. A szabályzat létrehozásához válassza a Létrehozás lehetőséget. Screenshot of creating a shared policy in Microsoft Event Hubs.

2. lépés: A QRadar SIEM-be való streameléshez – Figyelés szabályzat létrehozása

  1. Válassza a Hozzáadás lehetőséget, adjon meg egy egyedi szabályzatnevet, majd válassza a Figyelés lehetőséget.

  2. A szabályzat létrehozásához válassza a Létrehozás lehetőséget.

  3. A figyelési szabályzat létrehozása után másolja ki a Csatlakozás ion sztring elsődleges kulcsát, és mentse későbbi használatra.

    Screenshot of creating a listen policy in Microsoft Event Hubs.

3. lépés: Hozzon létre egy fogyasztói csoportot, majd másolja és mentse a SIEM platformon használni kívánt nevet

  1. Az Event Hubs eseményközpont menüjének Entitások szakaszában válassza az Event Hubs lehetőséget, és válassza ki a létrehozott eseményközpontot.

    Screenshot of opening the event hub Microsoft Event Hubs.

  2. Válassza a Fogyasztói csoport lehetőséget.

4. lépés: Folyamatos exportálás engedélyezése a riasztások hatóköréhez

  1. Az Azure keresőmezőjében keressen rá a "szabályzat" kifejezésre, és nyissa meg a Szabályzatot.

  2. A Szabályzat menüben válassza a Definíciók lehetőséget.

  3. Keresse meg az "exportálás üzembe helyezése" kifejezést, és válassza az Exportálás telepítése az Event Hubba Felhőhöz készült Microsoft Defender beépített adatszabályzatot.

  4. Válassza a Hozzárendelés lehetőséget.

  5. Adja meg az alapvető házirend-beállításokat:

    1. A Hatókör területen válassza ki a ... lehetőséget a szabályzat alkalmazási hatókörének kiválasztásához.
    2. Keresse meg a gyökérszintű felügyeleti csoportot (bérlői hatókörhöz), felügyeleti csoportot, előfizetést vagy erőforráscsoportot a hatókörben, és válassza a Kiválasztás lehetőséget.
      • A bérlő gyökérszintű felügyeleti csoportszintjének kiválasztásához bérlői szintű engedélyekkel kell rendelkeznie.
    3. (Nem kötelező) A Kizárások területen megadhatja az exportálásból kizárandó előfizetéseket.
    4. Adjon meg egy hozzárendelésnevet.
    5. Győződjön meg arról, hogy a szabályzatkényszerítés engedélyezve van.

    Screenshot of assignment for the export policy.

  6. A szabályzat paramétereiben:

    1. Adja meg azt az erőforráscsoportot, amelyben az automatizálási erőforrás mentésre kerül.
    2. Válassza ki az erőforráscsoport helyét.
    3. Válassza ki a ... elemet az Eseményközpont adatai mellett, és adja meg az eseményközpont adatait, beleértve a következőket:
      • Előfizetés.
      • A létrehozott Event Hubs-névtér.
      • A létrehozott eseményközpont.
      • Az engedélyezési szabályokban válassza ki a riasztások küldéséhez létrehozott megosztott hozzáférési szabályzatot.

    Screenshot of parameters for the export policy.

  7. Válassza a Véleményezés, a Létrehozás és létrehozás lehetőséget az Event Hubsba történő folyamatos exportálás meghatározásának folyamatának befejezéséhez.

    • Figyelje meg, hogy amikor a bérlőn (gyökérszintű felügyeleti csoport szintjén) aktiválja a folyamatos exportálási szabályzatot, az automatikusan streameli a riasztásokat a bérlő alatt létrehozott új előfizetésekre.

5. lépés: Riasztások streamelése a QRadar SIEM-be – Tárfiók létrehozása

  1. Lépjen az Azure Portalra, válassza az Erőforrás létrehozása, majd a Storage-fiók lehetőséget. Ha ez a beállítás nem jelenik meg, keressen rá a "tárfiók" kifejezésre.

  2. Válassza a Létrehozás lehetőséget.

  3. Adja meg a tárfiók adatait, válassza a Véleményezés és létrehozás, majd a Létrehozás lehetőséget.

    Screenshot of creating storage account.

  4. Miután létrehozta a tárfiókot, és az erőforrásra lép, a menüben válassza a Hozzáférési kulcsok lehetőséget.

  5. A kulcsok megjelenítéséhez és az 1. kulcs kapcsolati sztring másolásához válassza a Kulcsok megjelenítése lehetőséget.

    Screenshot of copying storage account key.

6. lépés: A Splunk SIEM streamelési riasztásainak létrehozása – Microsoft Entra-alkalmazás létrehozása

  1. A menü keresőmezőjében keressen rá a "Microsoft Entra ID" kifejezésre, és lépjen a Microsoft Entra-azonosítóra.

  2. Nyissa meg az Azure Portalt, válassza az Erőforrás létrehozása, majd a Microsoft Entra-azonosító lehetőséget. Ha ez a beállítás nem jelenik meg, keressen rá az "active directory" kifejezésre.

  3. A menüben válassza a Alkalmazásregisztrációk.

  4. Új regisztráció kiválasztása.

  5. Adja meg az alkalmazás egyedi nevét, és válassza a Regisztráció lehetőséget.

    Screenshot of registering application.

  6. Másolja a vágólapra, és mentse az alkalmazás (ügyfél) azonosítóját és a címtár (bérlő) azonosítóját.

  7. Hozza létre az alkalmazás titkos ügyfélkulcsát:

    1. A menüben válassza a Tanúsítványok > titkos kulcsok lehetőséget.
    2. Hozzon létre egy jelszót az alkalmazás számára, amely igazolja az identitását egy jogkivonat kérésekor:
    3. Válassza az Új titkos ügyfélkód lehetőséget.
    4. Adjon meg egy rövid leírást, válassza ki a titkos kód lejárati idejét, és válassza a Hozzáadás lehetőséget.

    Screenshot of creating client secret.

  8. A titkos kód létrehozása után másolja ki a titkos kód azonosítóját, és mentse későbbi használatra az alkalmazásazonosítóval és a címtár (bérlő) azonosítójával együtt.

7. lépés: A Splunk SIEM felé irányuló streamelési riasztások esetén – A Microsoft Entra ID olvasásának engedélyezése az eseményközpontból

  1. Nyissa meg a létrehozott Event Hubs-névteret.

  2. A menüben válassza a Hozzáférés-vezérlés lehetőséget.

  3. Válassza a Hozzáadás és a Szerepkör-hozzárendelés hozzáadása lehetőséget.

  4. Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.

    Screenshot of adding a role assignment.

  5. A Szerepkörök lapon keresse meg az Azure Event Hubs adatátvevőt.

  6. Válassza a Tovább lehetőséget.

  7. Válassza a Tagok kijelölése lehetőséget.

  8. Keresse meg a korábban létrehozott Microsoft Entra-alkalmazást, és válassza ki.

  9. Válassza a Bezárás lehetőséget.

A riasztások exportálásának további beállításához telepítse a használt SIEM beépített összekötőit .