Trasmettere avvisi alle soluzioni di monitoraggio

  • Articolo

Microsoft Defender per il cloud ha la possibilità di trasmettere avvisi di sicurezza in varie soluzioni SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR) e IT Service Management (ITSM). Gli avvisi di sicurezza vengono generati quando vengono rilevate minacce sulle risorse. Defender per il cloud assegna priorità ed elenca gli avvisi nella pagina Avvisi, insieme a informazioni aggiuntive necessarie per analizzare rapidamente il problema. Vengono forniti passaggi dettagliati per facilitare la correzione della minaccia rilevata. Tutti i dati degli avvisi vengono conservati per 90 giorni.

Sono disponibili strumenti predefiniti di Azure che consentono di visualizzare i dati degli avvisi nelle soluzioni seguenti:

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • Power BI
  • ServiceNow
  • QRadar di IBM
  • Palo Alto Networks
  • ArcSight

Trasmettere avvisi a Defender XDR con l'API XDR di Defender

Defender per il cloud si integra in modo nativo con Microsoft Defender XDR consente di usare l'API degli eventi imprevisti e degli avvisi di Defender XDR per trasmettere avvisi ed eventi imprevisti in soluzioni non Microsoft. Defender per il cloud i clienti possono accedere a un'API per tutti i prodotti di sicurezza Microsoft e possono usare questa integrazione come modo più semplice per esportare avvisi ed eventi imprevisti.

Informazioni su come integrare gli strumenti SIEM con Defender XDR.

Trasmettere avvisi a Microsoft Sentinel

Defender per il cloud si integra in modo nativo con Soluzione SIEM e SOAR nativa del cloud di Microsoft Sentinel di Azure.

Connettori di Microsoft Sentinel per Defender per il cloud

Microsoft Sentinel include connettori predefiniti per Microsoft Defender per il cloud a livello di sottoscrizione e tenant.

È possibile:

Quando ci si connette Defender per il cloud a Microsoft Sentinel, lo stato degli avvisi Defender per il cloud inseriti in Microsoft Sentinel viene sincronizzato tra i due servizi. Ad esempio, quando un avviso viene chiuso in Defender per il cloud, tale avviso viene visualizzato anche come chiuso in Microsoft Sentinel. Quando si modifica lo stato di un avviso in Defender per il cloud, viene aggiornato anche lo stato dell'avviso in Microsoft Sentinel. Tuttavia, gli stati di qualsiasi evento imprevisto di Microsoft Sentinel che contengono l'avviso sincronizzato di Microsoft Sentinel non vengono aggiornati.

È possibile abilitare la funzionalità di sincronizzazione degli avvisi bidirezionali per sincronizzare automaticamente lo stato degli avvisi Defender per il cloud originali con gli eventi imprevisti di Microsoft Sentinel che contengono le copie degli avvisi Defender per il cloud. Ad esempio, quando viene chiuso un evento imprevisto di Microsoft Sentinel contenente un avviso Defender per il cloud, Defender per il cloud chiude automaticamente l'avviso originale corrispondente.

Informazioni su come connettere gli avvisi da Microsoft Defender per il cloud.

Nota

La funzionalità di sincronizzazione degli avvisi bidirezionali non è disponibile nel cloud Azure per enti pubblici.

Configurare l'inserimento di tutti i log di controllo in Microsoft Sentinel

Un'altra alternativa per l'analisi degli avvisi Defender per il cloud in Microsoft Sentinel consiste nel trasmettere i log di controllo in Microsoft Sentinel:

Suggerimento

Microsoft Sentinel viene fatturato in base al volume di dati che inserisce per l'analisi in Microsoft Sentinel e archivia nell'area di lavoro Log Analytics di Monitoraggio di Azure. Microsoft Sentinel offre un modello di prezzi flessibile e prevedibile. Per altre informazioni, vedere la pagina dei prezzi di Microsoft Sentinel.

Trasmettere avvisi a QRadar e Splunk

Per esportare gli avvisi di sicurezza in Splunk e QRadar, è necessario usare Hub eventi e un connettore predefinito. È possibile usare uno script di PowerShell o il portale di Azure per configurare i requisiti per l'esportazione degli avvisi di sicurezza per la sottoscrizione o il tenant. Una volta soddisfatti i requisiti, è necessario usare la procedura specifica per ogni siem per installare la soluzione nella piattaforma SIEM.

Prerequisiti

Prima di configurare i servizi di Azure per l'esportazione degli avvisi, assicurarsi di disporre di:

  • Sottoscrizione di Azure (creare un account gratuito)
  • Gruppo di risorse di Azure (creare un gruppo di risorse)
  • Ruolo proprietario nell'ambito degli avvisi (sottoscrizione, gruppo di gestione o tenant) o autorizzazioni specifiche:
    • Autorizzazioni di scrittura per hub eventi e criteri di Hub eventi
    • Creare autorizzazioni per le applicazioni Microsoft Entra, se non si usa un'applicazione Microsoft Entra esistente
    • Assegnare le autorizzazioni per i criteri, se si usa il Criteri di Azure 'DeployIfNotExist'

Configurare i servizi di Azure

È possibile configurare l'ambiente Azure per supportare l'esportazione continua usando:

  1. Scaricare ed eseguire lo script di PowerShell.

  2. Immettere i parametri richiesti.

  3. Eseguire lo script.

Lo script esegue automaticamente tutti i passaggi. Al termine dello script, usare l'output per installare la soluzione nella piattaforma SIEM.

Azure portal

  1. Accedere al portale di Azure.

  2. Cercare e selezionare Event Hubs.

  3. Creare uno spazio dei nomi e un hub eventi di Hub eventi.

  4. Definire un criterio per l'hub eventi con Send autorizzazioni.

Se si stanno trasmettendo avvisi a QRadar:

  1. Creare un criterio dell'hub Listen eventi.

  2. Copiare e salvare il stringa di connessione dei criteri da usare in QRadar.

  3. Creare un gruppo di consumer.

  4. Copiare e salvare il nome da usare nella piattaforma SIEM.

  5. Abilitare l'esportazione continua degli avvisi di sicurezza nell'hub eventi definito.

  6. Creare un account di archiviazione.

  7. Copiare e salvare il stringa di connessione nell'account da usare in QRadar.

Per istruzioni più dettagliate, vedere Preparare le risorse di Azure per l'esportazione in Splunk e QRadar.

Se si stanno trasmettendo avvisi a Splunk:

  1. Creare un'applicazione Microsoft Entra.

  2. Salvare il tenant, l'ID app e la password dell'app.

  3. Concedere le autorizzazioni all'applicazione Microsoft Entra per leggere dall'hub eventi creato in precedenza.

Per istruzioni più dettagliate, vedere Preparare le risorse di Azure per l'esportazione in Splunk e QRadar.

Connessione l'hub eventi alla soluzione preferita usando i connettori predefiniti

Ogni piattaforma SIEM ha uno strumento per abilitarlo per ricevere avvisi da Hub eventi di Azure. Installare lo strumento per la piattaforma per iniziare a ricevere avvisi.

Tool Ospitata in Azure Descrizione
IBM QRadar No Microsoft Azure DSM e Microsoft Hub eventi di Azure Protocol sono disponibili per il download dal sito Web del supporto IBM.
Splunk No Il componente aggiuntivo Splunk per Microsoft Servizi cloud è un progetto open source disponibile in Splunkbase.

Se non è possibile installare un componente aggiuntivo nell'istanza di Splunk, ad esempio se si usa un proxy o si esegue in Splunk Cloud, è possibile inoltrare questi eventi all'agente di raccolta eventi HTTP splunk di Splunk usando la funzione di Azure per Splunk, che viene attivata da nuovi messaggi nell'hub eventi.

Trasmettere avvisi con esportazione continua

Per trasmettere avvisi in ArcSight, SumoLogic, server Syslog, LogRhythm, Logz.io Cloud Observability Platform e altre soluzioni di monitoraggio, connettere Defender per il cloud usando l'esportazione continua e Hub eventi di Azure.

Nota

Per trasmettere gli avvisi a livello di tenant, usare questo criterio di Azure e impostare l'ambito nel gruppo di gestione radice. Sono necessarie autorizzazioni per il gruppo di gestione radice, come illustrato in Defender per il cloud autorizzazioni: Distribuire l'esportazione in un hub eventi per Microsoft Defender per il cloud avvisi e raccomandazioni.

Per trasmettere avvisi con esportazione continua:

  1. Abilitare l'esportazione continua:

  2. Connessione l'hub eventi alla soluzione preferita usando i connettori predefiniti:

    Tool Ospitata in Azure Descrizione
    sumologic No Le istruzioni per configurare SumoLogic per l'utilizzo dei dati di un hub eventi sono disponibili in Raccogliere i log per l'app di controllo di Azure da Hub eventi.
    ArcSight No ArcSight Hub eventi di Azure connettore intelligente è disponibile come parte della raccolta di connettori intelligenti di ArcSight.
    Server Syslog No Per trasmettere i dati di Monitoraggio di Azure direttamente a un server syslog, è possibile usare una soluzione basata su una funzione di Azure.
    LogRhythm No Le istruzioni per configurare LogRhythm per raccogliere i log da un hub eventi sono disponibili qui.
    Logz.io Per altre informazioni, vedere Introduzione al monitoraggio e alla registrazione con Logz.io per le app Java in esecuzione in Azure

  3. (Facoltativo) Trasmettere i log non elaborati all'hub eventi e connettersi alla soluzione preferita. Per altre informazioni, vedere Monitoraggio dei dati disponibili.

Per visualizzare gli schemi eventi dei tipi di dati esportati, visitare gli schemi di eventi di Hub eventi.

Usare il API Sicurezza microsoft Graph per trasmettere avvisi ad applicazioni non Microsoft

integrazione predefinita di Defender per il cloud con Microsoft Graph API Sicurezza senza la necessità di ulteriori requisiti di configurazione.

È possibile usare questa API per trasmettere avvisi dall'intero tenant (e i dati di molti prodotti Microsoft Security) in SIEM non Microsoft e altre piattaforme comuni:

Nota

Il modo preferito per esportare gli avvisi consiste nell'esportare continuamente Microsoft Defender per il cloud dati.

Passaggi successivi

Questa pagina ha illustrato come assicurarsi che i dati degli avvisi Microsoft Defender per il cloud siano disponibili nello strumento SIEM, SOAR o ITSM preferito. Per informazioni correlate, vedere: