Alertas de fluxo para uma solução siem, soar ou gestão de serviços de TI

Microsoft Defender para a Cloud pode transmitir os seus alertas de segurança para as soluções mais populares de Segurança e Gestão de Eventos (SIEM), Orquestração de Segurança (SOAR) e Gestão de Serviços de TI (ITSM). Alertas de segurança são notificações que Defender para a Cloud gera quando deteta ameaças nos seus recursos. Defender para a Cloud prioriza e enumera os alertas, juntamente com as informações necessárias para que investigue rapidamente o problema. Defender para a Cloud também fornece medidas detalhadas para ajudá-lo a remediar os ataques. Os dados de alertas são mantidos por 90 dias.

Existem ferramentas Azure incorporadas para garantir que pode ver os seus dados de alerta em todas as soluções mais populares a utilizar hoje em dia, incluindo:

  • Microsoft Sentinel
  • Splunk Enterprise e Splunk Cloud
  • QRadar da IBM
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

Alertas de streaming para o Microsoft Sentinel

Defender para a Cloud integra-se de forma nativa com o Microsoft Sentinel, a solução SIEM nativa em nuvem da Azure e a solução SOAR.

Saiba mais sobre o Microsoft Sentinel.

Conectores do Microsoft Sentinel para Defender para a Cloud

O Microsoft Sentinel inclui conectores incorporados para Microsoft Defender para a Cloud nos níveis de subscrição e inquilino:

Quando liga Defender para a Cloud ao Microsoft Sentinel, o estado dos alertas Defender para a Cloud que são ingeridos no Microsoft Sentinel é sincronizado entre os dois serviços. Assim, por exemplo, quando um alerta é fechado em Defender para a Cloud, esse alerta também é mostrado como fechado no Microsoft Sentinel. Se alterar o estado de um alerta em Defender para a Cloud, o estado do alerta no Microsoft Sentinel também é atualizado, mas os estados de quaisquer incidentes do Microsoft Sentinel que contenham o alerta sincronizado do Microsoft Sentinel não são atualizados.

Pode ativar a função de sincronização de alerta bidirecional para sincronizar automaticamente o estado dos alertas Defender para a Cloud originais com os incidentes do Microsoft Sentinel que contêm as cópias desses alertas Defender para a Cloud. Assim, por exemplo, quando um incidente do Microsoft Sentinel que contém um alerta Defender para a Cloud é fechado, Defender para a Cloud fecha automaticamente o alerta original correspondente.

Saiba mais Ligação alertas de Microsoft Defender para a Cloud.

Nota

A funcionalidade de sincronização de alerta bidirecional não está disponível na nuvem Azure Government.

Configure a ingestão de todos os registos de auditoria no Microsoft Sentinel

Outra alternativa para investigar alertas de Defender para a Cloud no Microsoft Sentinel é transmitir os seus registos de auditoria para o Microsoft Sentinel:

Dica

O Microsoft Sentinel é faturado com base no volume de dados que ingere para análise no Microsoft Sentinel e nas lojas no espaço de trabalho Azure Monitor Log Analytics. O Microsoft Sentinel oferece um modelo de preços flexível e previsível. Saiba mais na página de preços do Microsoft Sentinel.

Alertas de fluxo para QRadar e Splunk

A exportação de alertas de segurança para a Splunk e qRadar utiliza centros de eventos e um conector incorporado. Você pode usar um script PowerShell ou o portal do Azure para configurar os requisitos para exportar alertas de segurança para a sua subscrição ou inquilino. Em seguida, terá de utilizar o procedimento específico de cada SIEM para instalar a solução na plataforma SIEM.

Pré-requisitos

Antes de configurar os serviços Azure para alertas de exportação, certifique-se de que tem:

  • Subscrição do Azure (Criar uma conta gratuita)
  • Grupo de recursos Azure (Criar um grupo de recursos)
  • Papel do proprietário no âmbito de alertas (subscrição, grupo de gestão ou inquilino), ou estas permissões específicas:
    • Escreva permissões para centros de eventos e para a Política do Centro de Eventos
    • Crie permissões para Azure AD aplicações, se não estiver a utilizar uma aplicação de Azure AD existente
    • Atribua permissões para políticas, se estiver a utilizar o Azure Policy 'DeployIfNotExist'

Passo 1. Criar os serviços Azure

Pode configurar o seu ambiente Azure para suportar a exportação contínua utilizando:

  • Um script PowerShell (Recomendado)

    Descarregue e execute o script PowerShell. Introduza os parâmetros necessários e o script executa todos os passos para si. Quando o script termina, ele produz a informação que irá utilizar para instalar a solução na plataforma SIEM.

  • O portal do Azure

    Aqui está uma visão geral dos passos que vai fazer no portal do Azure:

    1. Crie um espaço de nomes e centro de eventos do Event Hubs.
    2. Defina uma política para o centro de eventos com permissões de "Enviar".
    3. Se estiver a transmitir alertas para o QRadar - Crie uma política de centro de eventos "Ouvir", em seguida, copie e guarde a cadeia de ligação da política que usará no QRadar.
    4. Crie um grupo de consumidores, em seguida, copie e guarde o nome que vai usar na plataforma SIEM.
    5. Permitir a exportação contínua de alertas de segurança para o centro de eventos definido.
    6. Se estiver a transmitir alertas para o QRadar - Crie uma conta de armazenamento, em seguida, copie e guarde a cadeia de ligação para a conta que vai usar no QRadar.
    7. Se estiver a transmitir alertas para o Splunk:
      1. Criar uma aplicação Azure Ative Directory (AD).
      2. Guarde o inquilino, o ID da aplicação e a senha da aplicação.
      3. Dê permissões à Azure AD Application para ler a partir do centro de eventos que criou anteriormente.

    Para obter instruções mais detalhadas, consulte prepare os recursos do Azure para exportar para a Splunk e qRadar.

Passo 2. Ligação o centro do evento à sua solução preferida utilizando os conectores incorporados

Cada plataforma SIEM tem uma ferramenta que lhe permite receber alertas de Hubs de Eventos do Azure. Instale a ferramenta para que a sua plataforma comece a receber alertas.

Ferramenta Hospedado em Azure Descrição
IBM QRadar Não O Microsoft Azure DSM e Microsoft Azure Event Hubs Protocol estão disponíveis para download a partir do site de suporte da IBM.
Splunk Não Splunk Add-on para a Microsoft Serviços Cloud é um projeto open source disponível em Splunkbase.

Se não conseguir instalar um addon no seu exemplo splunk, por exemplo, se estiver a usar um proxy ou a correr na Splunk Cloud, pode encaminhar estes eventos para o Splunk HTTP Event Collector utilizando a função Azure Para Splunk, que é desencadeada por novas mensagens no centro de eventos.

Alertas de fluxo com exportação contínua

Para transmitir alertas para os servidores ArcSight, SumoLogic, Syslog, LogRhythm, Logz.io Cloud Observability Platform e outras soluções de monitorização, conecte Defender para a Cloud utilizando exportação contínua e Hubs de Eventos do Azure:

Nota

Para transmitir alertas ao nível do inquilino, use esta política de Azure e coloque o âmbito no grupo de gestão de raiz. Você precisará de permissões para o grupo de gestão de raízes, como explicado em Defender para a Cloud permissões: Implementar a exportação para um centro de eventos para alertas e recomendações Microsoft Defender para a Cloud.

  1. Permitir a exportação contínua para transmitir alertas de Defender para a Cloud para um centro de eventos dedicado ao nível da subscrição. Para o fazer ao nível do Grupo de Gestão utilizando Azure Policy, consulte Criar configurações contínuas de automação de exportação em escala.

  2. Ligação o centro de eventos à sua solução preferida utilizando os conectores incorporados:

    Ferramenta Hospedado em Azure Descrição
    SumoLogic Não As instruções para a criação da SumoLogic para consumir dados de um centro de eventos estão disponíveis no Collect Logs para a App de Auditoria Azure dos Centros de Eventos.
    ArcSight Não O conector inteligente ArcSight Hubs de Eventos do Azure está disponível como parte da coleção de conector inteligente ArcSight.
    Syslog server Não Se pretender transmitir os dados do Azure Monitor diretamente para um servidor syslog, pode utilizar uma solução baseada numa função Azure.
    LogRhythm Não As instruções para configurar o LogRhythm para recolher registos de um centro de eventos estão disponíveis aqui.
    Logz.io Sim Para obter mais informações, consulte Começar com monitorização e registo utilizando Logz.io para aplicações Java em execução no Azure
  3. Opcionalmente, transmita os troncos crus para o centro do evento e ligue-se à sua solução preferida. Saiba mais em Monitorizar os dados disponíveis.

Para ver os esquemas de eventos dos tipos de dados exportados, visite os esquemas de eventos do Event Hubs.

Utilize o microsoft Graph API de Segurança para transmitir alertas para aplicações de terceiros

Como alternativa ao Microsoft Sentinel e ao Azure Monitor, pode utilizar a integração integrada da Defender para a Cloud com a Microsoft Graph API de Segurança. Não é necessária nenhuma configuração e não há custos adicionais.

Você pode usar esta API para transmitir alertas de todo o seu inquilino (e dados de muitos produtos Microsoft Security) para SIEMs de terceiros e outras plataformas populares:

Passos seguintes

Esta página explicou como garantir que os seus dados de alerta Microsoft Defender para a Cloud estão disponíveis na sua ferramenta de escolha SIEM, SOAR ou ITSM. Para obter material relacionado, consulte: