Trasmettere avvisi alle soluzioni di monitoraggio
Microsoft Defender per il cloud ha la possibilità di trasmettere avvisi di sicurezza in varie soluzioni SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR) e IT Service Management (ITSM). Gli avvisi di sicurezza vengono generati quando vengono rilevate minacce sulle risorse. Defender per il cloud assegna priorità ed elenca gli avvisi nella pagina Avvisi, insieme a informazioni aggiuntive necessarie per analizzare rapidamente il problema. Vengono forniti passaggi dettagliati per facilitare la correzione della minaccia rilevata. Tutti i dati degli avvisi vengono conservati per 90 giorni.
Sono disponibili strumenti predefiniti di Azure che consentono di visualizzare i dati degli avvisi nelle soluzioni seguenti:
- Microsoft Sentinel
- Splunk Enterprise and Splunk Cloud
- Power BI
- ServiceNow
- QRadar di IBM
- Palo Alto Networks
- ArcSight
Trasmettere avvisi a Defender XDR con l'API XDR di Defender
Defender per il cloud si integra in modo nativo con Microsoft Defender XDR consente di usare l'API degli eventi imprevisti e degli avvisi di Defender XDR per trasmettere avvisi ed eventi imprevisti in soluzioni non Microsoft. Defender per il cloud i clienti possono accedere a un'API per tutti i prodotti di sicurezza Microsoft e possono usare questa integrazione come modo più semplice per esportare avvisi ed eventi imprevisti.
Informazioni su come integrare gli strumenti SIEM con Defender XDR.
Trasmettere avvisi a Microsoft Sentinel
Defender per il cloud si integra in modo nativo con Soluzione SIEM e SOAR nativa del cloud di Microsoft Sentinel di Azure.
Connettori di Microsoft Sentinel per Defender per il cloud
Microsoft Sentinel include connettori predefiniti per Microsoft Defender per il cloud a livello di sottoscrizione e tenant.
È possibile:
- Trasmettere avvisi a Microsoft Sentinel a livello di sottoscrizione.
- Connessione tutte le sottoscrizioni nel tenant a Microsoft Sentinel.
Quando ci si connette Defender per il cloud a Microsoft Sentinel, lo stato degli avvisi Defender per il cloud inseriti in Microsoft Sentinel viene sincronizzato tra i due servizi. Ad esempio, quando un avviso viene chiuso in Defender per il cloud, tale avviso viene visualizzato anche come chiuso in Microsoft Sentinel. Quando si modifica lo stato di un avviso in Defender per il cloud, viene aggiornato anche lo stato dell'avviso in Microsoft Sentinel. Tuttavia, gli stati di qualsiasi evento imprevisto di Microsoft Sentinel che contengono l'avviso sincronizzato di Microsoft Sentinel non vengono aggiornati.
È possibile abilitare la funzionalità di sincronizzazione degli avvisi bidirezionali per sincronizzare automaticamente lo stato degli avvisi Defender per il cloud originali con gli eventi imprevisti di Microsoft Sentinel che contengono le copie degli avvisi Defender per il cloud. Ad esempio, quando viene chiuso un evento imprevisto di Microsoft Sentinel contenente un avviso Defender per il cloud, Defender per il cloud chiude automaticamente l'avviso originale corrispondente.
Informazioni su come connettere gli avvisi da Microsoft Defender per il cloud.
Nota
La funzionalità di sincronizzazione degli avvisi bidirezionali non è disponibile nel cloud Azure per enti pubblici.
Configurare l'inserimento di tutti i log di controllo in Microsoft Sentinel
Un'altra alternativa per l'analisi degli avvisi Defender per il cloud in Microsoft Sentinel consiste nel trasmettere i log di controllo in Microsoft Sentinel:
- Connettere gli eventi di sicurezza di Windows
- Raccogliere dati da origini basate su Linux usando Syslog
- Connessione dati dal log attività di Azure
Suggerimento
Microsoft Sentinel viene fatturato in base al volume di dati che inserisce per l'analisi in Microsoft Sentinel e archivia nell'area di lavoro Log Analytics di Monitoraggio di Azure. Microsoft Sentinel offre un modello di prezzi flessibile e prevedibile. Per altre informazioni, vedere la pagina dei prezzi di Microsoft Sentinel.
Trasmettere avvisi a QRadar e Splunk
Per esportare gli avvisi di sicurezza in Splunk e QRadar, è necessario usare Hub eventi e un connettore predefinito. È possibile usare uno script di PowerShell o il portale di Azure per configurare i requisiti per l'esportazione degli avvisi di sicurezza per la sottoscrizione o il tenant. Una volta soddisfatti i requisiti, è necessario usare la procedura specifica per ogni siem per installare la soluzione nella piattaforma SIEM.
Prerequisiti
Prima di configurare i servizi di Azure per l'esportazione degli avvisi, assicurarsi di disporre di:
- Sottoscrizione di Azure (creare un account gratuito)
- Gruppo di risorse di Azure (creare un gruppo di risorse)
- Ruolo proprietario nell'ambito degli avvisi (sottoscrizione, gruppo di gestione o tenant) o autorizzazioni specifiche:
- Autorizzazioni di scrittura per hub eventi e criteri di Hub eventi
- Creare autorizzazioni per le applicazioni Microsoft Entra, se non si usa un'applicazione Microsoft Entra esistente
- Assegnare le autorizzazioni per i criteri, se si usa il Criteri di Azure 'DeployIfNotExist'
Configurare i servizi di Azure
È possibile configurare l'ambiente Azure per supportare l'esportazione continua usando:
Script di PowerShell (scelta consigliata)
Scaricare ed eseguire lo script di PowerShell.
Immettere i parametri richiesti.
Eseguire lo script.
Lo script esegue automaticamente tutti i passaggi. Al termine dello script, usare l'output per installare la soluzione nella piattaforma SIEM.
Azure portal
Accedere al portale di Azure.
Cercare e selezionare
Event Hubs
.Creare uno spazio dei nomi e un hub eventi di Hub eventi.
Definire un criterio per l'hub eventi con
Send
autorizzazioni.
Se si stanno trasmettendo avvisi a QRadar:
Creare un criterio dell'hub
Listen
eventi.Copiare e salvare il stringa di connessione dei criteri da usare in QRadar.
Creare un gruppo di consumer.
Copiare e salvare il nome da usare nella piattaforma SIEM.
Abilitare l'esportazione continua degli avvisi di sicurezza nell'hub eventi definito.
Creare un account di archiviazione.
Copiare e salvare il stringa di connessione nell'account da usare in QRadar.
Per istruzioni più dettagliate, vedere Preparare le risorse di Azure per l'esportazione in Splunk e QRadar.
Se si stanno trasmettendo avvisi a Splunk:
Creare un'applicazione Microsoft Entra.
Salvare il tenant, l'ID app e la password dell'app.
Concedere le autorizzazioni all'applicazione Microsoft Entra per leggere dall'hub eventi creato in precedenza.
Per istruzioni più dettagliate, vedere Preparare le risorse di Azure per l'esportazione in Splunk e QRadar.
Connessione l'hub eventi alla soluzione preferita usando i connettori predefiniti
Ogni piattaforma SIEM ha uno strumento per abilitarlo per ricevere avvisi da Hub eventi di Azure. Installare lo strumento per la piattaforma per iniziare a ricevere avvisi.
Tool | Ospitata in Azure | Descrizione |
---|---|---|
IBM QRadar | No | Microsoft Azure DSM e Microsoft Hub eventi di Azure Protocol sono disponibili per il download dal sito Web del supporto IBM. |
Splunk | No | Il componente aggiuntivo Splunk per Microsoft Servizi cloud è un progetto open source disponibile in Splunkbase. Se non è possibile installare un componente aggiuntivo nell'istanza di Splunk, ad esempio se si usa un proxy o si esegue in Splunk Cloud, è possibile inoltrare questi eventi all'agente di raccolta eventi HTTP splunk di Splunk usando la funzione di Azure per Splunk, che viene attivata da nuovi messaggi nell'hub eventi. |
Trasmettere avvisi con esportazione continua
Per trasmettere avvisi in ArcSight, SumoLogic, server Syslog, LogRhythm, Logz.io Cloud Observability Platform e altre soluzioni di monitoraggio, connettere Defender per il cloud usando l'esportazione continua e Hub eventi di Azure.
Nota
Per trasmettere gli avvisi a livello di tenant, usare questo criterio di Azure e impostare l'ambito nel gruppo di gestione radice. Sono necessarie autorizzazioni per il gruppo di gestione radice, come illustrato in Defender per il cloud autorizzazioni: Distribuire l'esportazione in un hub eventi per Microsoft Defender per il cloud avvisi e raccomandazioni.
Per trasmettere avvisi con esportazione continua:
Abilitare l'esportazione continua:
- A livello di sottoscrizione.
- A livello di gruppo di gestione tramite Criteri di Azure.
Connessione l'hub eventi alla soluzione preferita usando i connettori predefiniti:
Tool Ospitata in Azure Descrizione sumologic No Le istruzioni per configurare SumoLogic per l'utilizzo dei dati di un hub eventi sono disponibili in Raccogliere i log per l'app di controllo di Azure da Hub eventi. ArcSight No ArcSight Hub eventi di Azure connettore intelligente è disponibile come parte della raccolta di connettori intelligenti di ArcSight. Server Syslog No Per trasmettere i dati di Monitoraggio di Azure direttamente a un server syslog, è possibile usare una soluzione basata su una funzione di Azure. LogRhythm No Le istruzioni per configurare LogRhythm per raccogliere i log da un hub eventi sono disponibili qui. Logz.io Sì Per altre informazioni, vedere Introduzione al monitoraggio e alla registrazione con Logz.io per le app Java in esecuzione in Azure (Facoltativo) Trasmettere i log non elaborati all'hub eventi e connettersi alla soluzione preferita. Per altre informazioni, vedere Monitoraggio dei dati disponibili.
Per visualizzare gli schemi eventi dei tipi di dati esportati, visitare gli schemi di eventi di Hub eventi.
Usare il API Sicurezza microsoft Graph per trasmettere avvisi ad applicazioni non Microsoft
integrazione predefinita di Defender per il cloud con Microsoft Graph API Sicurezza senza la necessità di ulteriori requisiti di configurazione.
È possibile usare questa API per trasmettere avvisi dall'intero tenant (e i dati di molti prodotti Microsoft Security) in SIEM non Microsoft e altre piattaforme comuni:
- Splunk Enterprise e Splunk Cloud - usano il componente aggiuntivo Microsoft Graph API Sicurezza per Splunk
- Power BI - Connessione al API Sicurezza Microsoft Graph in Power BI Desktop.
- ServiceNow - Installare e configurare l'applicazione microsoft Graph API Sicurezza da ServiceNow Store.
- QRadar - Usa il modulo device support di IBM per Microsoft Defender per il cloud tramite l'API Microsoft Graph.
- Palo Alto Networks, Anomali, Lookout, InSpark e altro ancora: usare il API Sicurezza Microsoft Graph.
Nota
Il modo preferito per esportare gli avvisi consiste nell'esportare continuamente Microsoft Defender per il cloud dati.
Passaggi successivi
Questa pagina ha illustrato come assicurarsi che i dati degli avvisi Microsoft Defender per il cloud siano disponibili nello strumento SIEM, SOAR o ITSM preferito. Per informazioni correlate, vedere:
- Che cos'è Microsoft Azure Sentinel?
- Convalida degli avvisi in Microsoft Defender per il cloud - Verificare che gli avvisi siano configurati correttamente
- Esportare continuamente i dati Defender per il cloud