Transmitir alertas para soluções de monitoramento

  • Artigo

O Microsoft Defender para Nuvem tem a habilidade de transmitir alertas de segurança para várias soluções de SIEM (gerenciamento de eventos e informações de segurança), SOAR (resposta automatizada de orquestração de segurança) e ITSM (gerenciamento de serviços de TI). Alertas de segurança são gerados quando ameaças são detectadas em seus recursos. O Defender para Nuvem prioriza e lista os alertas na página Alertas, junto às informações adicionais necessárias para investigar o problema rapidamente. Etapas detalhadas são fornecidas para ajudar a corrigir a ameaça detectada. Todos os dados de alertas são retidos por 90 dias.

Há ferramentas internas do Azure disponíveis que garantem a possibilidade de exibir os dados de alerta nas seguintes soluções:

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • Power BI
  • ServiceNow
  • QRadar da IBM
  • Palo Alto Networks
  • ArcSight

Transmitir alertas para o Defender XDR com a API do Defender XDR

O Defender para Nuvem integra-se nativamente ao Microsoft Defender XDR permitindo usar a API de incidentes e alertas do Defender XDR para transmitir alertas e incidentes em soluções que não são da Microsoft. Os clientes do Defender para Nuvem podem acessar uma API para todos os produtos de segurança da Microsoft e podem usar essa integração como uma maneira mais fácil de exportar alertas e incidentes.

Saiba como Integrar ferramentas SIEM ao Defender XDR.

Transmitir alertas para o Microsoft Sentinel

O Defender para Nuvem integra-se nativamente ao Microsoft Sentinel, ao SIEM nativo de nuvem do Azure e à solução SOAR.

Conectores do Microsoft Sentinel para o Defender para Nuvem

O Microsoft Sentinel inclui conectores integrados para o Microsoft Defender para Nuvem nos níveis de assinatura e locatário.

Você poderá:

Quando você conecta o Defender para Nuvem ao Microsoft Sentinel, o status dos alertas do Defender para Nuvem que são ingeridos no Microsoft Sentinel é sincronizado entre os dois serviços. Por exemplo, quando um alerta estiver fechado no Defender para Nuvem, esse alerta também será exibido como fechado no Microsoft Sentinel. Quando você altera o status de um alerta no Defender para Nuvem, o status do alerta no Microsoft Sentinel também é atualizado. No entanto, os status dos incidentes do Microsoft Sentinel que contêm o alerta sincronizado do Microsoft Sentinel não são atualizados.

Habilite o recurso sincronização de alertas bidirecional para sincronizar automaticamente o status dos alertas originais do Defender para Nuvem aos incidentes do Microsoft Sentinel que contêm as cópias dos alertas do Defender para Nuvem. Por exemplo, quando um incidente do Azure Sentinel que contém um alerta do Microsoft Defender estiver fechado, o Defender para Nuvem fechará automaticamente o alerta original correspondente.

Saiba como conectar alertas do Microsoft Defender para Nuvem.

Observação

O recurso de sincronização de alertas bidirecional não está disponível na nuvem do Azure governamental.

Configurar a ingestão de todos os logs de auditoria no Microsoft Sentinel

Outra alternativa para investigar alertas do Defender para Nuvem no Microsoft Sentinel é transmitir seus logs de auditoria para o Microsoft Sentinel:

Dica

A cobrança do Microsoft Sentinel é feita com base no volume de dados ingeridos para análise no Microsoft Sentinel e armazenados no workspace do Log Analytics do Azure Monitor. O Microsoft Sentinel oferece um modelo de preços flexível e previsível. Saiba mais na página de preços do Microsoft Sentinel.

Transmitir alertas para QRadar e Splunk

A fim de exportar alertas de segurança para o Splunk e QRadar, é necessário usar os Hubs de Eventos e um conector interno. Você pode usar um script do PowerShell ou o portal do Azure para configurar os requisitos para exportar alertas de segurança para sua assinatura ou locatário. Quando os requisitos estão em vigor, você precisa usar o procedimento específico para cada SIEM para instalar a solução na plataforma SIEM.

Pré-requisitos

Antes de configurar os serviços do Azure para exportar alertas, verifique se você tem:

  • Assinatura do Azure (Criar uma conta gratuita)
  • Grupo de recursos do Azure (Criar um grupo de recursos)
  • Função de proprietário no escopo de alertas (assinatura, grupo de gerenciamento ou locatário) ou estas permissões específicas:
    • Permissões de gravação para hubs de eventos e a Política do Hub de Eventos
    • Crie permissões para aplicativos do Microsoft Entra, caso você não esteja usando um aplicativo existente do Microsoft Entra
    • Atribua permissões para políticas, se você estiver usando o Azure Policy 'DeployIfNotExist'

Configurar os serviços do Azure

Você pode configurar seu ambiente do Azure para dar suporte à exportação contínua usando:

  1. Baixe e execute o script do PowerShell.

  2. Insira os parâmetros necessários.

  3. Execute o script.

O script executa todas as etapas para você. Quando o script for concluído, use a saída para instalar a solução na plataforma SIEM.

Portal do Azure

  1. Entre no portal do Azure.

  2. Pesquise e selecione Event Hubs.

  3. Crie um hub de eventos e um namespace do Hubs de Eventos.

  4. Defina uma política para o hub de eventos com permissões Send.

Se você estiver transmitindo alertas para o QRadar:

  1. Crie uma política Listen de hub de eventos.

  2. Copie e salve a cadeia de conexão da política a ser usada no QRadar.

  3. Criar um grupo de consumidores.

  4. Copie e salve o nome a ser usado na plataforma SIEM.

  5. Habilite a exportação contínua dos alertas de segurança para o hub de eventos definido.

  6. Criar uma conta de armazenamento.

  7. Copie e salve a cadeia de conexão na conta a ser usada no QRadar.

Para obter instruções mais detalhadas, consulte Preparar recursos do Azure para exportar para Splunk e QRadar.

Se você estiver transmitindo alertas para o Splunk:

  1. Criar um aplicativo do Microsoft Entra.

  2. Salve o Locatário, a ID do aplicativo e a senha do aplicativo.

  3. Conceda ao Aplicativo do Microsoft Entra permissões de leitura no hub de eventos que você criou anteriormente.

Para obter instruções mais detalhadas, consulte Preparar recursos do Azure para exportar para Splunk e QRadar.

Conecte o hub de eventos à sua solução preferida usando conectores internos

Cada plataforma SIEM tem uma ferramenta para permitir que ela receba alertas de Hubs de Eventos do Azure. Instale a ferramenta para sua plataforma começar a receber alertas.

Ferramenta Hospedada no Azure Descrição
IBM QRadar Não O Microsoft Azure DSM e protocolo de Hub de Eventos do Microsoft Azure estão disponíveis para download no site de suporte da IBM.
Splunk Não O Complemento do Splunk para os Serviços de Nuvem da Microsoft é um projeto de software livre disponível no Splunkbase.

Se não for possível instalar um complemento na instância do Splunk (por exemplo, se for usado um proxy ou executar no Splunk Cloud), é possível encaminhar esses eventos para o Coletor de Eventos HTTP do Splunk usando a função do Azure para Splunk, que é acionada por novas mensagens no hub de eventos.

Transmitir alertas com exportação contínua

Para transmitir alertas no ArcSight, no SumoLogic, nos servidores do Syslog, no LogRhythm, na Plataforma de Observabilidade de Nuvem Logz.io e em outras soluções de monitoramento, conecte o Defender para Nuvem usando exportação contínua e Hubs de Eventos do Azure.

Observação

Para transmitir alertas no nível do locatário, use esta política do Azure e defina o escopo no grupo de gerenciamento raiz. Você precisará ter permissões no grupo de gerenciamento raiz, conforme explicado em Permissões do Defender para Nuvem: Implantar a exportação em um hub de eventos para alertas e recomendações do Microsoft Defender para Nuvem.

Para transmitir alertas com exportação contínua:

  1. Habilitar exportação contínua:

  2. Conecte o hub de eventos à sua solução preferida usando conectores internos:

    Ferramenta Hospedada no Azure Descrição
    SumoLogic Não As instruções para configurar o SumoLogic para consumir dados de um hub de eventos estão disponíveis em Coletar logs dos Hubs de Eventos para o aplicativo de auditoria do Azure.
    ArcSight Não O conector inteligente ArcSight de Hubs de Eventos do Azure está disponível como parte da coleção de conectores inteligentes ArcSight.
    Servidor syslog Não Caso deseje transmitir por streaming dados do Azure Monitor diretamente para um servidor syslog, é possível usar uma solução baseada em uma função do Azure.
    LogRhythm Não As instruções para configurar o LogRhythm para coletar logs de um hub de eventos estão disponíveis aqui.
    Logz.io Sim Para obter mais informações, consulte Introdução ao monitoramento e registro em log usando o Logz.io para aplicativos Java em execução no Azure

  3. (Opcional) Transmitir os logs brutos para o hub de eventos e conectar-se à sua solução preferida. Saiba mais em Dados de monitoramento disponíveis.

Para ver os esquemas de eventos dos tipos de dados exportados, acesse os esquemas de eventos do Hub de Eventos.

Usar a API de Segurança do Microsoft Graph para transmitir alertas para aplicativos que não são da Microsoft

A integração interna do Defender para Nuvem com a API de segurança do Microsoft Graph sem a necessidade de mais requisitos de configuração.

É possível usar essa API para transmitir alertas de todo o seu locatário (e dados de muitos outros produtos da Segurança da Microsoft) para SIEMs de fora da Microsoft e de outras plataformas populares:

Observação

A maneira preferencial de exportar alertas é por meio da exportação contínua do Microsoft Defender para dados de nuvem.

Próximas etapas

Esta página explicou como garantir que os dados de alerta Microsoft Defender para Nuvem fiquem disponíveis na ferramenta SIEM, SOAR ou ITSM de sua escolha. Para obter materiais relacionados, confira: