Share via

Preparare le risorse di Azure per l'esportazione in Splunk e QRadar

  • Articolo

Per trasmettere Microsoft Defender per il cloud avvisi di sicurezza a IBM QRadar e Splunk, è necessario configurare le risorse in Azure, ad esempio Hub eventi e Microsoft Entra ID. Di seguito sono riportate le istruzioni per configurare queste risorse nella portale di Azure, ma è anche possibile configurarle usando uno script di PowerShell. Prima di configurare le risorse di Azure per l'esportazione di avvisi in QRadar e Splunk, assicurarsi di esaminare gli avvisi di Stream in QRadar e Splunk.

Per configurare le risorse di Azure per QRadar e Splunk nella portale di Azure:

Passaggio 1: Creare uno spazio dei nomi di Hub eventi e un hub eventi con autorizzazioni di invio

  1. Nel servizio Hub eventi creare uno spazio dei nomi di Hub eventi:

    1. Seleziona Crea.
    2. Immettere i dettagli dello spazio dei nomi, selezionare Rivedi e crea e selezionare Crea.

    Screenshot of creating an Event Hubs namespace in Microsoft Event Hubs.

  2. Creare un hub eventi:

    1. Nello spazio dei nomi creato selezionare + Hub eventi.
    2. Immettere i dettagli dell'hub eventi e selezionare Rivedi e crea e selezionare Crea.

  3. Creare criteri di accesso condiviso.

    1. Nel menu hub eventi selezionare lo spazio dei nomi di Hub eventi creato.
    2. Nel menu dello spazio dei nomi dell'hub eventi selezionare Hub eventi.
    3. Selezionare l'hub eventi appena creato.
    4. Nel menu dell'hub eventi selezionare Criteri di accesso condiviso.
    5. Selezionare Aggiungi, immettere un nome di criterio univoco e selezionare Invia.
    6. Selezionare Crea per creare il criterio. Screenshot of creating a shared policy in Microsoft Event Hubs.

Passaggio 2: Per lo streaming in QRadar SIEM - Creare un criterio di ascolto

  1. Selezionare Aggiungi, immettere un nome di criteri univoco e selezionare Ascolta.

  2. Selezionare Crea per creare il criterio.

  3. Dopo aver creato i criteri di ascolto, copiare la chiave primaria della stringa di Connessione ion e salvarla per usarla in un secondo momento.

    Screenshot of creating a listen policy in Microsoft Event Hubs.

Passaggio 3: Creare un gruppo di consumer, quindi copiare e salvare il nome da usare nella piattaforma SIEM

  1. Nella sezione Entità del menu hub eventi di Hub eventi selezionare Hub eventi e selezionare l'hub eventi creato.

    Screenshot of opening the event hub Microsoft Event Hubs.

  2. Selezionare Gruppo di consumer.

Passaggio 4: Abilitare l'esportazione continua per l'ambito degli avvisi

  1. Nella casella di ricerca di Azure cercare "policy" e passare a Criteri.

  2. Nel menu Criteri selezionare Definizioni.

  3. Cercare "deploy export" (Distribuisci esportazione) e selezionare il criterio Deploy export to Event Hub (Distribuisci esportazione in Hub eventi) per Microsoft Defender per il cloud criterio predefinito dei dati.

  4. Seleziona Assegna.

  5. Definire le opzioni dei criteri di base:

    1. In Ambito selezionare ... per selezionare l'ambito a cui applicare i criteri.
    2. Trovare il gruppo di gestione radice (per ambito tenant), il gruppo di gestione, la sottoscrizione o il gruppo di risorse nell'ambito e selezionare Seleziona.
      • Per selezionare un livello di gruppo di gestione radice del tenant, è necessario disporre delle autorizzazioni a livello di tenant.
    3. (Facoltativo) In Esclusioni è possibile definire sottoscrizioni specifiche da escludere dall'esportazione.
    4. Immettere un nome di assegnazione.
    5. Assicurarsi che l'applicazione dei criteri sia abilitata.

    Screenshot of assignment for the export policy.

  6. Nei parametri dei criteri:

    1. Immettere il gruppo di risorse in cui viene salvata la risorsa di automazione.
    2. Selezionare la posizione del gruppo di risorse.
    3. Selezionare ... accanto ai dettagli dell'hub eventi e immettere i dettagli per l'hub eventi, tra cui:
      • Sottoscrizione.
      • Spazio dei nomi di Hub eventi creato.
      • Hub eventi creato.
      • In authorizationrules selezionare i criteri di accesso condiviso creati per inviare avvisi.

    Screenshot of parameters for the export policy.

  7. Selezionare Rivedi e crea e crea per completare il processo di definizione dell'esportazione continua in Hub eventi.

    • Si noti che quando si attivano criteri di esportazione continua nel tenant (livello di gruppo di gestione radice), trasmette automaticamente gli avvisi in qualsiasi nuova sottoscrizione che verrà creata nel tenant.

Passaggio 5: Per gli avvisi di streaming a SIEM QRadar - Creare un account di archiviazione

  1. Passare alla portale di Azure, selezionare Crea una risorsa e selezionare Archiviazione account. Se questa opzione non viene visualizzata, cercare "account di archiviazione".

  2. Seleziona Crea.

  3. Immettere i dettagli per l'account di archiviazione, selezionare Rivedi e crea e quindi Crea.

    Screenshot of creating storage account.

  4. Dopo aver creato l'account di archiviazione e aver scelto la risorsa, nel menu selezionare Chiavi di accesso.

  5. Selezionare Mostra chiavi per visualizzare le chiavi e copiare il stringa di connessione della chiave 1.

    Screenshot of copying storage account key.

Passaggio 6: Per gli avvisi di streaming a Splunk SIEM - Creare un'applicazione Microsoft Entra

  1. Nella casella di ricerca del menu cercare "Microsoft Entra ID" e passare a Microsoft Entra ID.

  2. Passare al portale di Azure, selezionare Crea una risorsa e selezionare Microsoft Entra ID. Se questa opzione non viene visualizzata, cercare "active directory".

  3. Nel menu selezionare Registrazioni app.

  4. Seleziona Nuova registrazione.

  5. Immettere un nome univoco per l'applicazione e selezionare Registra.

    Screenshot of registering application.

  6. Copiare negli Appunti e salvare l'ID applicazione (client) e l'ID directory (tenant).

  7. Creare il segreto client per l'applicazione:

    1. Nel menu passare a Certificati e segreti.
    2. Creare una password per l'applicazione per dimostrare la propria identità quando si richiede un token:
    3. Selezionare Nuovo segreto client.
    4. Immettere una breve descrizione, scegliere l'ora di scadenza del segreto e selezionare Aggiungi.

    Screenshot of creating client secret.

  8. Dopo aver creato il segreto, copiare l'ID segreto e salvarlo per usarlo in un secondo momento insieme all'ID applicazione e all'ID directory (tenant).

Passaggio 7: Per gli avvisi di streaming a Splunk SIEM - Consentire a Microsoft Entra ID di leggere dall'hub eventi

  1. Passare allo spazio dei nomi di Hub eventi creato.

  2. Nel menu passare a Controllo di accesso.

  3. Selezionare Aggiungi e selezionare Aggiungi assegnazione di ruolo.

  4. Selezionare Aggiungi un'assegnazione di ruolo.

    Screenshot of adding a role assignment.

  5. Nella scheda Ruoli cercare Hub eventi di Azure Ricevitore dati.

  6. Seleziona Avanti.

  7. Selezionare Seleziona membri.

  8. Cercare l'applicazione Microsoft Entra creata in precedenza e selezionarla.

  9. Selezionare Chiudi.

Per continuare a configurare l'esportazione degli avvisi, installare i connettori predefiniti per il sistema SIEM in uso.