Azure-erőforrások előkészítése a Splunkba és a QRadarba való exportáláshoz

Ahhoz, hogy Felhőhöz készült Microsoft Defender biztonsági riasztásokat streamelhessen az IBM QRadarba és a Splunkba, erőforrásokat kell beállítania az Azure-ban, például az Event Hubsban és a Azure Active Directory -ban (Azure AD). Az alábbi utasításokat követve konfigurálhatja ezeket az erőforrásokat a Azure Portal, de PowerShell-szkripttel is konfigurálhatja őket. Mielőtt konfigurálja az Azure-erőforrásokat a riasztások QRadarba és Splunkba való exportálásához, tekintse át a Stream-riasztásokat a QRadarba és a Splunkba .

A QRadar és a Splunk Azure-erőforrásainak konfigurálása a Azure Portal:

1. lépés Event Hubs-névtér és eseményközpont létrehozása küldési engedélyekkel

  1. Az Event Hubs szolgáltatásban hozzon létre egy Event Hubs-névteret:

    1. Válassza a Létrehozás lehetőséget.
    2. Adja meg a névtér részleteit, válassza az Áttekintés + létrehozás lehetőséget, majd a Létrehozás lehetőséget.

    Screenshot of creating an Event Hubs namespace in Microsoft Event Hubs.

  2. Eseményközpont létrehozása:

    1. A létrehozott névtérben válassza az + Eseményközpont lehetőséget.
    2. Adja meg az eseményközpont adatait, majd válassza a Felülvizsgálat + létrehozás lehetőséget, majd a Létrehozás lehetőséget.
  3. Hozzon létre egy megosztott hozzáférési szabályzatot.

    1. Az Eseményközpont menüben válassza ki a létrehozott Event Hubs-névteret.
    2. Az Event Hub névtér menüjében válassza az Event Hubs lehetőséget.
    3. Válassza ki az imént létrehozott eseményközpontot.
    4. Az eseményközpont menüjében válassza a Megosztott hozzáférési szabályzatok lehetőséget.
    5. Válassza a Hozzáadás lehetőséget, adjon meg egy egyedi házirendnevet, majd válassza a Küldés lehetőséget.
    6. A szabályzat létrehozásához válassza a Létrehozás lehetőséget. Screenshot of creating a shared policy in Microsoft Event Hubs.

2. lépés Streamelés a QRadar SIEM-be – Figyelés szabályzat létrehozása

  1. Válassza a Hozzáadás lehetőséget, adjon meg egy egyedi szabályzatnevet, majd válassza a Figyelés lehetőséget.

  2. A szabályzat létrehozásához válassza a Létrehozás lehetőséget.

  3. A figyelésszabályzat létrehozása után másolja ki a kapcsolati sztring elsődleges kulcsát , és mentse későbbi használatra.

    Screenshot of creating a listen policy in Microsoft Event Hubs.

3. lépés Hozzon létre egy fogyasztói csoportot, majd másolja és mentse a SIEM platformon használandó nevet

  1. Az Event Hubs eseményközpont menüjének Entitások szakaszában válassza az Event Hubs elemet, majd válassza ki a létrehozott eseményközpontot.

    Screenshot of opening the event hub Microsoft Event Hubs.

  2. Válassza ki a Fogyasztói csoportot.

4. lépés: Folyamatos exportálás engedélyezése a riasztások hatókörében

  1. Az Azure keresőmezőjében keressen rá a "szabályzat" kifejezésre, és lépjen a Szabályzatra.

  2. A Szabályzat menüben válassza a Definíciók lehetőséget.

  3. Keressen rá az "exportálás üzembe helyezése" kifejezésre, és válassza az Exportálás telepítése az Eseményközpontba lehetőséget Azure Security Center beépített adatokra vonatkozó szabályzathoz.

  4. Válassza a Hozzárendelés elemet.

  5. Határozza meg az alapvető szabályzatbeállításokat:

    1. A Hatókör területen válassza ki a ... lehetőséget, hogy kiválassza azt a hatókört, amelyre alkalmazni szeretné a szabályzatot.
    2. Keresse meg a gyökérszintű felügyeleti csoportot (a bérlő hatóköréhez), a felügyeleti csoportot, az előfizetést vagy az erőforráscsoportot a hatókörben, és válassza a Kiválasztás lehetőséget.
      • A bérlő gyökérszintű felügyeleti csoportszintjének kiválasztásához bérlői szintű engedélyekkel kell rendelkeznie.
    3. (Nem kötelező) A Kizárások területen megadhatja az exportálásból kizárandó előfizetéseket.
    4. Adja meg a feladat nevét.
    5. Győződjön meg arról, hogy a szabályzatkényszerítés engedélyezve van.

    Screenshot of assignment for the export policy.

  6. A szabályzat paramétereiben:

    1. Adja meg azt az erőforráscsoportot, ahová az automation-erőforrást menti.
    2. Válassza ki az erőforráscsoport helyét.
    3. Válassza az eseményközpont adatai melletti ... lehetőséget, és adja meg az eseményközpont adatait, beleértve a következőket:
      • Előfizetés.
      • A létrehozott Event Hubs-névtér.
      • A létrehozott eseményközpont.
      • Az engedélyezési szabályokban válassza ki a létrehozott megosztott hozzáférési szabályzatot a riasztások küldéséhez.

    Screenshot of parameters for the export policy.

  7. Válassza az Áttekintés, létrehozás és létrehozás lehetőséget az Event Hubsba történő folyamatos exportálás definiálásának befejezéséhez.

    • Figyelje meg, hogy ha a bérlőn (gyökérszintű felügyeleti csoport szintjén) aktiválja a folyamatos exportálási szabályzatot, az automatikusan streameli a riasztásokat a bérlő alatt létrejövő új előfizetésekre.

5. lépés Riasztások QRadar SIEM-be való streameléséhez – Tárfiók létrehozása

  1. Lépjen a Azure Portal, válassza az Erőforrás létrehozása lehetőséget, majd válassza Storage fiókot. Ha ez a beállítás nem jelenik meg, keressen rá a "tárfiók" kifejezésre.

  2. Válassza a Létrehozás lehetőséget.

  3. Adja meg a tárfiók adatait, válassza az Áttekintés és létrehozás, majd a Létrehozás lehetőséget.

    Screenshot of creating storage account.

  4. Miután létrehozta a tárfiókot, és az erőforrásra lép, a menüben válassza a Hozzáférési kulcsok lehetőséget.

  5. A kulcsok megjelenítéséhez válassza a Kulcsok megjelenítése lehetőséget, és másolja ki az 1. kulcs kapcsolati sztring.

    Screenshot of copying storage account key.

6. lépés Riasztások Splunk SIEM-be való streameléséhez – Azure AD-alkalmazás létrehozása

  1. A menü keresőmezőjében keressen rá a "Azure Active Directory" kifejezésre, és lépjen a Azure Active Directory.

  2. Lépjen a Azure Portal, válassza az Erőforrás létrehozása, majd a Azure Active Directory lehetőséget. Ha ez a beállítás nem jelenik meg, keressen rá az "active directory" kifejezésre.

  3. A menüben válassza a Alkalmazásregisztrációk lehetőséget.

  4. Válassza az Új regisztráció lehetőséget.

  5. Adjon meg egy egyedi nevet az alkalmazásnak, és válassza a Regisztráció lehetőséget.

    Screenshot of registering application.

  6. Másolja a vágólapra, és mentse az alkalmazás-(ügyfél-) azonosítót és a címtár- (bérlő-) azonosítót.

  7. Hozza létre az alkalmazás titkos ügyfélkulcsát:

    1. A menüben lépjen a Tanúsítványok titkos kódjai &elemre.
    2. Hozzon létre egy jelszót az alkalmazás számára, amely igazolja identitását a jogkivonatok lekérésekor:
    3. Válassza az Új titkos ügyfélkulcs lehetőséget.
    4. Adjon meg egy rövid leírást, válassza ki a titkos kód lejárati idejét, majd válassza a Hozzáadás lehetőséget.

    Screenshot of creating client secret.

  8. A titkos kód létrehozása után másolja ki a titkos kód azonosítóját, és mentse későbbi használatra az alkalmazásazonosítóval és a címtár-(bérlői) azonosítóval együtt.

7. lépés Riasztások Splunk SIEM-be való streameléséhez – Az Azure AD olvasásának engedélyezése az eseményközpontból

  1. Nyissa meg a létrehozott Event Hubs-névteret.

  2. A menüben lépjen a Hozzáférés-vezérlés elemre.

  3. Válassza a Hozzáadás és a Szerepkör-hozzárendelés hozzáadása lehetőséget.

  4. Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.

    Screenshot of adding a role assignment.

  5. A Szerepkörök lapon keresse meg Azure Event Hubs adatfogadót.

  6. Kattintson a Tovább gombra.

  7. Válassza a Tagok kiválasztása lehetőséget.

  8. Keresse meg a korábban létrehozott Azure AD-alkalmazást, és válassza ki.

  9. Válassza a Bezárás gombot.

A riasztások exportálásának további beállításához telepítse a használt SIEM beépített összekötőit .