Mengalirkan pemberitahuan ke solusi pemantauan

  • Artikel

Microsoft Defender untuk Cloud memiliki kemampuan untuk mengalirkan pemberitahuan keamanan ke berbagai solusi Security Information and Event Management (SIEM), Security Orchestration Automated Response (SOAR), dan IT Service Management (ITSM). Pemberitahuan keamanan dihasilkan saat ancaman terdeteksi pada sumber daya Anda. Defender untuk Cloud memprioritaskan dan mencantumkan pemberitahuan di halaman Pemberitahuan, bersama dengan informasi tambahan yang diperlukan untuk menyelidiki masalah dengan cepat. Langkah-langkah terperinci disediakan untuk membantu Anda memulihkan ancaman yang terdeteksi. Semua data pemberitahuan disimpan selama 90 hari.

Ada alat Azure bawaan yang tersedia yang memastikan Anda bisa melihat data pemberitahuan Anda dalam solusi berikut:

  • Microsoft Sentinel
  • Splunk Enterprise dan Splunk Cloud
  • Power BI
  • ServiceNow
  • QRadar IBM
  • Palo Alto Networks
  • ArcSight

Mengalirkan pemberitahuan ke Defender XDR dengan Defender XDR API

Defender untuk Cloud terintegrasi secara asli dengan Microsoft Defender XDR memungkinkan Anda menggunakan API insiden dan pemberitahuan Defender XDR untuk mengalirkan pemberitahuan dan insiden ke solusi non-Microsoft. Defender untuk Cloud pelanggan dapat mengakses satu API untuk semua produk keamanan Microsoft dan dapat menggunakan integrasi ini sebagai cara yang lebih mudah untuk mengekspor pemberitahuan dan insiden.

Pelajari cara mengintegrasikan alat SIEM dengan Defender XDR.

Streaming pemberitahuan ke Microsoft Sentinel

Defender untuk Cloud terintegrasi secara asli dengan Solusi SIEM dan SOAR asli cloud Microsoft Sentinel Azure.

Konektor Microsoft Sentinel untuk Defender for Cloud

Microsoft Sentinel menyertakan konektor bawaan untuk Microsoft Defender untuk Cloud di tingkat langganan dan penyewa.

Anda dapat:

Saat Anda menghubungkan Defender for Cloud ke Microsoft Sentinel, status pemberitahuan Defender for Cloud yang diserap ke dalam Microsoft Sentinel disinkronkan di antara kedua layanan tersebut. Misalnya, saat pemberitahuan ditutup di Defender untuk Cloud, pemberitahuan tersebut juga ditampilkan sebagai tertutup di Microsoft Azure Sentinel. Saat Anda mengubah status pemberitahuan di Defender untuk Cloud, status pemberitahuan di Microsoft Azure Sentinel juga diperbarui. Namun, status insiden Microsoft Azure Sentinel apa pun yang berisi pemberitahuan Microsoft Sentinel yang disinkronkan tidak diperbarui.

Anda dapat mengaktifkan fitur sinkronisasi pemberitahuan dua arah untuk secara otomatis menyinkronkan status pemberitahuan Defender untuk Cloud asli dengan insiden Microsoft Azure Sentinel yang berisi salinan pemberitahuan Defender untuk Cloud. Misalnya, ketika insiden Microsoft Azure Sentinel yang berisi pemberitahuan Defender untuk Cloud ditutup, Defender untuk Cloud secara otomatis menutup pemberitahuan asli yang sesuai.

Pelajari cara menyambungkan pemberitahuan dari Microsoft Defender untuk Cloud.

Catatan

Fitur sinkronisasi pemberitahuan dua arah tidak tersedia di cloud Azure Government.

Konfigurasikan penyerapan semua log audit ke Microsoft Sentinel

Alternatif lain untuk menyelidiki pemberitahuan Defender for Cloud di Microsoft Sentinel adalah melakukan streaming log audit Anda ke Microsoft Sentinel:

Tip

Microsoft Sentinel ditagih berdasarkan volume data yang diserapnya untuk analisis di Microsoft Sentinel dan disimpan di ruang kerja Azure Monitor Log Analytics. Microsoft Sentinel menawarkan model penetapan harga yang fleksibel dan dapat diprediksi. Pelajari selengkapnya di laman harga Microsoft Sentinel.

Mengalirkan peringatan ke QRadar dan Splunk

Untuk mengekspor pemberitahuan keamanan ke Splunk dan QRadar, Anda perlu menggunakan Azure Event Hubs dan konektor bawaan. Anda dapat menggunakan skrip PowerShell atau portal Microsoft Azure untuk menyiapkan persyaratan untuk mengekspor peringatan keamanan untuk langganan atau penyewa Anda. Setelah persyaratan diterapkan, Anda perlu menggunakan prosedur khusus untuk setiap SIEM untuk menginstal solusi di platform SIEM.

Prasyarat

Sebelum menyiapkan layanan Azure untuk mengekspor peringatan, pastikan Anda memiliki:

  • Langganan Azure (Buat akun gratis)
  • Grup sumber daya Azure (Buat grup sumber daya)
  • Peran pemilik pada cakupan pemberitahuan (langganan, grup manajemen, atau penyewa), atau izin khusus ini:
    • Izin tulis untuk hub peristiwa dan Kebijakan Azure Event Hubs
    • Membuat izin untuk aplikasi Microsoft Entra, jika Anda tidak menggunakan aplikasi Microsoft Entra yang sudah ada
    • Menetapkan izin untuk kebijakan, jika Anda menggunakan Azure Policy 'DeployIfNotExist'

Menyiapkan layanan Azure

Anda dapat menyiapkan lingkungan Azure untuk mendukung ekspor berkelanjutan menggunakan:

  1. Unduh dan jalankan skrip PowerShell.

  2. Masukkan parameter yang diperlukan.

  3. Jalankan skrip.

Skrip melakukan semua langkah untuk Anda. Ketika skrip selesai, gunakan output untuk menginstal solusi di platform SIEM.

Portal Azure

  1. Masuk ke portal Azure.

  2. Cari dan pilih Event Hubs.

  3. Membuat namespace layanan Azure Event Hubs dan pusat aktivitas.

  4. Tentukan kebijakan untuk pusat aktivitas dengan Send izin.

Jika Anda melakukan streaming pemberitahuan ke QRadar:

  1. Membuat kebijakan pusat Listen aktivitas.

  2. Salin dan simpan string koneksi kebijakan yang akan digunakan di QRadar.

  3. Membuat grup konsumen.

  4. Salin dan simpan nama yang akan digunakan di platform SIEM.

  5. Aktifkan ekspor berkelanjutan peringatan keamanan ke pusat peristiwa yang ditentukan.

  6. Membuat akun penyimpanan.

  7. Salin dan simpan string koneksi ke akun untuk digunakan di QRadar.

Untuk instruksi selengkapnya, lihat Menyiapkan sumber daya Azure untuk mengekspor ke Splunk dan QRadar.

Jika Anda melakukan streaming pemberitahuan ke Splunk:

  1. Buat aplikasi Microsoft Entra.

  2. Simpan Penyewa, ID Aplikasi, dan Kata sandi aplikasi.

  3. Berikan izin kepada Aplikasi Microsoft Entra untuk membaca dari hub peristiwa yang Anda buat sebelumnya.

Untuk instruksi selengkapnya, lihat Menyiapkan sumber daya Azure untuk mengekspor ke Splunk dan QRadar.

Sambungkan pusat aktivitas ke solusi pilihan Anda menggunakan konektor bawaan

Setiap platform SIEM memiliki alat untuk memungkinkannya menerima peringatan dari Azure Event Hubs. Instal alat untuk platform Anda untuk mulai menerima peringatan.

Alat Dihosting di Azure Deskripsi
IBM QRadar No Protokol Microsoft Azure DSM dan Microsoft Azure Event Hubs dapat diunduh dari situs web dukungan IBM.
Splunk No Splunk Add-on untuk Microsoft Cloud Services adalah proyek sumber terbuka yang tersedia di Splunkbase.

Jika Anda tidak dapat menginstal add-on di instans Splunk, misalnya jika Anda menggunakan proksi atau berjalan di Splunk Cloud, Anda dapat meneruskan peristiwa ini ke Splunk HTTP Event Collector menggunakan Azure Function For Splunk, yang dipicu oleh pesan baru di pusat aktivitas.

Mengalirkan peringatan dengan ekspor berkelanjutan

Untuk mengalirkan pemberitahuan ke ArcSight, SumoLogic, server Syslog, LogRhythm, Logz.io Cloud Observability Platform, dan solusi pemantauan lainnya, sambungkan Defender untuk Cloud menggunakan ekspor berkelanjutan dan Azure Event Hubs.

Catatan

Untuk melakukan streaming peringatan di tingkat penyewa, gunakan kebijakan Azure ini dan atur cakupan di grup manajemen akar. Anda memerlukan izin untuk grup pengelolaan akar seperti yang dijelaskan dalam Izin Defender untuk Cloud: Menyebarkan ekspor ke hub peristiwa untuk peringatan dan rekomendasi Microsoft Defender untuk Cloud.

Untuk mengalirkan pemberitahuan dengan ekspor berkelanjutan:

  1. Aktifkan ekspor berkelanjutan:

  2. Sambungkan pusat aktivitas ke solusi pilihan Anda menggunakan konektor bawaan:

    Alat Dihosting di Azure Deskripsi
    SumoLogic No Petunjuk untuk menyiapkan SumoLogic untuk menggunakan data dari pusat aktivitas tersedia di Mengumpulkan Log untuk Aplikasi Audit Azure dari Azure Event Hubs.
    ArcSight No Konektor cerdas ArcSight Azure Event Hubs tersedia sebagai bagian dari koleksi konektor cerdas ArcSight.
    Server Syslog No Jika Anda ingin melakukan streaming data Azure Monitor langsung ke server syslog, Anda bisa menggunakan solusi berdasarkan fungsi Azure.
    LogRhythm No Petunjuk untuk menyiapkan LogRhythm untuk mengumpulkan log dari pusat aktivitas tersedia di sini.
    Logz.io Ya Untuk informasi selengkapnya, lihat Mulai memantau dan mencatat menggunakan aplikasi Logz.io untuk Java yang berjalan di Azure

  3. (Opsional) Streaming log mentah ke pusat aktivitas dan sambungkan ke solusi pilihan Anda. Pelajari lebih lanjut dalam Memantau data yang tersedia.

Untuk melihat skema peristiwa dari jenis data yang diekspor, kunjungi skema peristiwa Azure Event Hubs.

Menggunakan Microsoft Graph Security API untuk mengalirkan pemberitahuan ke aplikasi non-Microsoft

integrasi bawaan Defender untuk Cloud dengan Microsoft Graph Security API tanpa memerlukan persyaratan konfigurasi lebih lanjut.

Anda dapat menggunakan API ini untuk mengalirkan pemberitahuan dari seluruh penyewa Anda (dan data dari banyak produk Microsoft Security) ke dalam SIEM non-Microsoft dan platform populer lainnya:

Catatan

Cara yang disukai untuk mengekspor pemberitahuan adalah melalui data Microsoft Defender untuk Cloud ekspor berkelanjutan.

Langkah berikutnya

Halaman ini menjelaskan cara memastikan data pemberitahuan Microsoft Defender for Cloud Anda tersedia di alat pilihan SIEM, SOAR, atau ITSM Anda. Untuk materi terkait, lihat: