Share via

Przygotowywanie zasobów platformy Azure do eksportowania do rozwiązania Splunk i QRadar

  • Artykuł

Aby przesyłać strumieniowo alerty zabezpieczeń Microsoft Defender dla Chmury do produktów IBM QRadar i Splunk, musisz skonfigurować zasoby na platformie Azure, takie jak Event Hubs i Microsoft Entra ID. Poniżej przedstawiono instrukcje dotyczące konfigurowania tych zasobów w witrynie Azure Portal, ale można je również skonfigurować przy użyciu skryptu programu PowerShell. Przed skonfigurowaniem zasobów platformy Azure na potrzeby eksportowania alertów do usługi QRadar i Splunk przejrzyj alerty usługi Stream w usługach QRadar i Splunk.

Aby skonfigurować zasoby platformy Azure dla narzędzi QRadar i Splunk w witrynie Azure Portal:

Krok 1. Tworzenie przestrzeni nazw usługi Event Hubs i centrum zdarzeń z uprawnieniami wysyłania

  1. W usłudze Event Hubs utwórz przestrzeń nazw usługi Event Hubs:

    1. Wybierz pozycję Utwórz.
    2. Wprowadź szczegóły przestrzeni nazw, wybierz pozycję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

    Screenshot of creating an Event Hubs namespace in Microsoft Event Hubs.

  2. Tworzenie centrum zdarzeń:

    1. W utworzonej przestrzeni nazw wybierz pozycję + Centrum zdarzeń.
    2. Wprowadź szczegóły centrum zdarzeń, a następnie wybierz pozycję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

  3. Utwórz zasady dostępu współdzielonego.

    1. W menu Centrum zdarzeń wybierz utworzoną przestrzeń nazw usługi Event Hubs.
    2. W menu przestrzeni nazw centrum zdarzeń wybierz pozycję Event Hubs.
    3. Wybierz centrum zdarzeń, które zostało właśnie utworzone.
    4. W menu centrum zdarzeń wybierz pozycję Zasady dostępu współdzielonego.
    5. Wybierz pozycję Dodaj, wprowadź unikatową nazwę zasad i wybierz pozycję Wyślij.
    6. Wybierz pozycję Utwórz, aby utworzyć zasady. Screenshot of creating a shared policy in Microsoft Event Hubs.

Krok 2. Przesyłanie strumieniowe do rozwiązania QRadar SIEM — tworzenie zasad nasłuchiwania

  1. Wybierz pozycję Dodaj, wprowadź unikatową nazwę zasad i wybierz pozycję Nasłuchiwanie.

  2. Wybierz pozycję Utwórz, aby utworzyć zasady.

  3. Po utworzeniu zasad nasłuchiwania skopiuj klucz podstawowy ciągu Połączenie ion i zapisz go w celu późniejszego użycia.

    Screenshot of creating a listen policy in Microsoft Event Hubs.

Krok 3. Tworzenie grupy odbiorców, a następnie kopiowanie i zapisywanie nazwy do użycia na platformie SIEM

  1. W sekcji Jednostki menu centrum zdarzeń usługi Event Hubs wybierz pozycję Event Hubs i wybierz utworzone centrum zdarzeń.

    Screenshot of opening the event hub Microsoft Event Hubs.

  2. Wybierz pozycję Grupa odbiorców.

Krok 4. Włączanie eksportu ciągłego dla zakresu alertów

  1. W polu wyszukiwania platformy Azure wyszukaj ciąg "zasady" i przejdź do obszaru Zasady.

  2. W menu Zasady wybierz pozycję Definicje.

  3. Wyszukaj ciąg "deploy export" (Wdróż eksport) i wybierz pozycję Deploy export to Event Hub (Wdróż eksport do centrum zdarzeń) dla Microsoft Defender dla Chmury wbudowanych zasad dotyczących danych.

  4. Zaznacz Przypisz.

  5. Zdefiniuj podstawowe opcje zasad:

    1. W obszarze Zakres wybierz pozycję ... aby wybrać zakres, do których mają być stosowane zasady.
    2. Znajdź główną grupę zarządzania (dla zakresu dzierżawy), grupę zarządzania, subskrypcję lub grupę zasobów w zakresie i wybierz pozycję Wybierz.
      • Aby wybrać główny poziom grupy zarządzania dzierżawy, musisz mieć uprawnienia na poziomie dzierżawy.
    3. (Opcjonalnie) W obszarze Wykluczenia można zdefiniować określone subskrypcje do wykluczenia z eksportu.
    4. Wprowadź nazwę przypisania.
    5. Upewnij się, że wymuszanie zasad jest włączone.

    Screenshot of assignment for the export policy.

  6. W parametrach zasad:

    1. Wprowadź grupę zasobów, w której jest zapisywany zasób automatyzacji.
    2. Wybierz lokalizację grupy zasobów.
    3. Wybierz ikonę ... obok szczegółów centrum zdarzeń i wprowadź szczegóły centrum zdarzeń, w tym:
      • Subskrypcja.
      • Utworzona przestrzeń nazw usługi Event Hubs.
      • Utworzone przez Ciebie centrum zdarzeń.
      • W obszarze authorizationrules wybierz zasady dostępu współdzielonego utworzone do wysyłania alertów.

    Screenshot of parameters for the export policy.

  7. Wybierz pozycję Przeglądanie i tworzenie i tworzenie , aby zakończyć proces definiowania eksportu ciągłego do usługi Event Hubs.

    • Zwróć uwagę, że po aktywowaniu zasad eksportu ciągłego na poziomie dzierżawy (głównej grupy zarządzania) automatycznie przesyła strumieniowo alerty do każdej nowej subskrypcji, która zostanie utworzona w ramach tej dzierżawy.

Krok 5. W przypadku alertów przesyłania strumieniowego do rozwiązania QRadar SIEM — tworzenie konta magazynu

  1. Przejdź do witryny Azure Portal, wybierz pozycję Utwórz zasób, a następnie wybierz pozycję Konto magazynu. Jeśli ta opcja nie jest wyświetlana, wyszukaj ciąg "konto magazynu".

  2. Wybierz pozycję Utwórz.

  3. Wprowadź szczegóły konta magazynu, wybierz pozycję Przejrzyj i utwórz, a następnie pozycję Utwórz.

    Screenshot of creating storage account.

  4. Po utworzeniu konta magazynu i przejściu do zasobu w menu wybierz pozycję Klucze dostępu.

  5. Wybierz pozycję Pokaż klucze, aby wyświetlić klucze, a następnie skopiuj parametry połączenia klucza 1.

    Screenshot of copying storage account key.

Krok 6. W przypadku alertów przesyłanych strumieniowo do rozwiązania Splunk SIEM — tworzenie aplikacji Firmy Microsoft Entra

  1. W polu wyszukiwania menu wyszukaj ciąg "Microsoft Entra ID" i przejdź do pozycji Microsoft Entra ID.

  2. Przejdź do witryny Azure Portal, wybierz pozycję Utwórz zasób i wybierz pozycję Microsoft Entra ID. Jeśli ta opcja nie jest wyświetlana, wyszukaj ciąg "active directory".

  3. W menu wybierz pozycję Rejestracje aplikacji.

  4. Wybierz opcjęNowa rejestracja.

  5. Wprowadź unikatową nazwę aplikacji i wybierz pozycję Zarejestruj.

    Screenshot of registering application.

  6. Skopiuj do Schowka i zapisz identyfikator aplikacji (klienta) i identyfikator katalogu (dzierżawy).

  7. Utwórz klucz tajny klienta dla aplikacji:

    1. W menu przejdź do pozycji Certyfikaty i wpisy tajne.
    2. Utwórz hasło dla aplikacji, aby udowodnić swoją tożsamość podczas żądania tokenu:
    3. Wybierz Nowy klucz tajny klienta.
    4. Wprowadź krótki opis, wybierz czas wygaśnięcia wpisu tajnego, a następnie wybierz pozycję Dodaj.

    Screenshot of creating client secret.

  8. Po utworzeniu wpisu tajnego skopiuj identyfikator wpisu tajnego i zapisz go do późniejszego użycia wraz z identyfikatorem aplikacji i identyfikatorem katalogu (dzierżawy).

Krok 7. W przypadku alertów przesyłanych strumieniowo do rozwiązania Splunk SIEM — zezwól usłudze Microsoft Entra ID na odczyt z centrum zdarzeń

  1. Przejdź do utworzonej przestrzeni nazw usługi Event Hubs.

  2. W menu przejdź do pozycji Kontrola dostępu.

  3. Wybierz pozycję Dodaj i wybierz pozycję Dodaj przypisanie roli.

  4. Wybierz pozycję Dodaj przypisanie roli.

    Screenshot of adding a role assignment.

  5. Na karcie Role wyszukaj pozycję Odbiornik danych usługi Azure Event Hubs.

  6. Wybierz Dalej.

  7. Wybierz pozycję Wybierz członków.

  8. Wyszukaj utworzoną wcześniej aplikację Microsoft Entra i wybierz ją.

  9. Wybierz Zamknij.

Aby kontynuować konfigurowanie eksportowania alertów, zainstaluj wbudowane łączniki dla używanego rozwiązania SIEM.