Transmitir alertas para uma solução SIEM, SOAR ou Gerenciamento de Serviços de TI

A Central de Segurança do Azure pode transmitir alertas de segurança para as soluções mais populares de SIEM (gerenciamento de eventos e informações de segurança), SOAR (resposta automatizada de orquestração de segurança) e ITSM (gerenciamento de serviços de TI).

Existem ferramentas nativas do Azure para garantir que você possa ver dados de alerta em todas as soluções mais populares em uso hoje, incluindo:

  • Azure Sentinel
  • Splunk Enterprise and Splunk Cloud
  • QRadar da IBM
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

Transmitir alertas para o Azure Sentinel

A Central de Segurança se integra nativamente ao Azure Sentinel, a solução de SIEM e SOAR nativa de nuvem do Azure.

Saiba mais sobre o Azure Sentinel.

Conectores do Azure Sentinel para a Central de Segurança

O Azure Sentinel inclui conectores internos para a Central de Segurança do Azure nos níveis de assinatura e locatário:

Configurar a ingestão de todos os logs de auditoria para o Azure Sentinel

Outra alternativa para investigar alertas da Central de Segurança no Azure Sentinel é transmitir logs de auditoria para o Azure Sentinel: - Conectar eventos de segurança do Windows - Coletar os dados das fontes baseadas no Linux usando o Syslog - Conectar dados do log de atividades do Azure

Dica

No Azure Sentinel, a cobrança é com base no volume de dados ingeridos para análise no Azure Sentinel e armazenados no workspace do Log Analytics do Azure Monitor. O Azure Sentinel oferece um modelo de preços flexível e previsível. Saiba mais na página de preços do Azure Sentinel.

Transmitir alertas com a API de Segurança do Microsoft Graph

A Central de Segurança se integra com a API de Segurança do Microsoft Graph. Nenhuma configuração é necessária e não há custos adicionais.

É possível usar essa API para transmitir alertas de todo o seu locatário (e dados de muitos outros produtos da Segurança da Microsoft) para SIEMs de terceiros e outras plataformas populares:

Saiba mais sobre a API de Segurança do Microsoft Graph.

Transmitir alertas com o Azure Monitor

Para transmitir alertas para o ArcSight, o Splunk, o SumoLogic, os servidores do Syslog, o LogRhythm, a Logz.io Cloud Observability Platform e outras soluções de monitoramento, conecte a Central de Segurança ao Azure Monitor pelos Hubs de Eventos do Azure:

  1. Habilite a exportação contínua para transmitir alertas da Central de Segurança para um Hub de Eventos do Azure dedicado no nível da assinatura.

    Dica

    Para fazer isso no nível do grupo de gerenciamento usando o Azure Policy, confira Criar configurações de automação de exportação contínua em escala

  2. Conectar o Hub de Eventos do Azure à sua solução preferida usando conectores internos do Azure Monitor.

  3. Outra opção é transmitir os logs brutos para o Hub de Eventos do Azure e se conectar à sua solução preferida. Saiba mais em Dados de monitoramento disponíveis.

Dica

Para ver os esquemas de eventos dos tipos de dados exportados, visite os esquemas de eventos do Hub de Eventos.

Próximas etapas

Esta página explicou como garantir que os dados de alerta da Central de Segurança do Azure fiquem disponíveis na ferramenta SIEM, SOAR ou ITSM de sua escolha. Para obter materiais relacionados, confira: