Preparar recursos do Azure para exportar para Splunk e QRadar

  • Artigo

Para transmitir alertas de segurança do Microsoft Defender for Cloud para o IBM QRadar e o Splunk, é necessário configurar recursos no Azure, como Hubs de Eventos e ID do Microsoft Entra. Aqui estão as instruções para configurar esses recursos no portal do Azure, mas você também pode configurá-los usando um script do PowerShell. Certifique-se de revisar alertas de fluxo para QRadar e Splunk antes de configurar os recursos do Azure para exportar alertas para QRadar e Splunk.

Para configurar os recursos do Azure para QRadar e Splunk no portal do Azure:

Etapa 1: Criar um namespace de Hubs de Eventos e um hub de eventos com permissões de envio

  1. No serviço Hubs de Eventos, crie um namespace de Hubs de Eventos:

    1. Selecione Criar.
    2. Insira os detalhes do namespace, selecione Revisar + criar e selecione Criar.

    Screenshot of creating an Event Hubs namespace in Microsoft Event Hubs.

  2. Crie um hub de eventos:

    1. No namespace criado, selecione + Hub de Eventos.
    2. Insira os detalhes do hub de eventos, selecione Revisar + criar e selecione Criar.

  3. Crie uma política de acesso compartilhado.

    1. No menu Hub de Eventos, selecione o namespace Hubs de Eventos que você criou.
    2. No menu namespace do Hub de Eventos, selecione Hubs de Eventos.
    3. Selecione o hub de eventos que você acabou de criar.
    4. No menu do hub de eventos, selecione Políticas de acesso compartilhado.
    5. Selecione Adicionar, insira um nome de política exclusivo e selecione Enviar.
    6. Selecione Criar para criar a política. Screenshot of creating a shared policy in Microsoft Event Hubs.

Etapa 2: Para streaming para QRadar SIEM - Criar uma política de escuta

  1. Selecione Adicionar, insira um nome de política exclusivo e selecione Ouvir.

  2. Selecione Criar para criar a política.

  3. Depois que a política de escuta for criada, copie a chave primária da cadeia de conexão e salve-a para usá-la mais tarde.

    Screenshot of creating a listen policy in Microsoft Event Hubs.

Etapa 3: Crie um grupo de consumidores e, em seguida, copie e salve o nome para usar na plataforma SIEM

  1. Na seção Entidades do menu hub de eventos Hubs de Eventos, selecione Hubs de Eventos e selecione o hub de eventos que você criou.

    Screenshot of opening the event hub Microsoft Event Hubs.

  2. Selecione Grupo de consumidores.

Etapa 4: Habilitar a exportação contínua para o escopo dos alertas

  1. Na caixa de pesquisa do Azure, procure por "política" e vá para a Política.

  2. No menu Política, selecione Definições.

  3. Procure por "implantar exportação" e selecione a política interna Implantar exportação para o Hub de Eventos do Microsoft Defender for Cloud.

  4. Selecione Atribuir.

  5. Defina as opções políticas básicas:

    1. Em Escopo, selecione o ... para selecionar o escopo ao qual aplicar a política.
    2. Encontre o grupo de gerenciamento raiz (para escopo de locatário), grupo de gerenciamento, assinatura ou grupo de recursos no escopo e selecione Selecionar.
      • Para selecionar um nível de grupo de gerenciamento raiz de locatário, você precisa ter permissões no nível de locatário.
    3. (Opcional) Em Exclusões, você pode definir assinaturas específicas para excluir da exportação.
    4. Insira um nome de atribuição.
    5. Certifique-se de que a imposição de políticas está ativada.

    Screenshot of assignment for the export policy.

  6. Nos parâmetros da política:

    1. Insira o grupo de recursos onde o recurso de automação está salvo.
    2. Selecione o local do grupo de recursos.
    3. Selecione o botão ... ao lado dos detalhes do Hub de Eventos e insira os detalhes do hub de eventos, incluindo:
      • Subscrição.
      • O namespace Hubs de Eventos que você criou.
      • O hub de eventos que criou.
      • Em authorizationrules, selecione a política de acesso compartilhado que você criou para enviar alertas.

    Screenshot of parameters for the export policy.

  7. Selecione Rever e Criar e Criar para concluir o processo de definição da exportação contínua para Hubs de Eventos.

    • Observe que, quando você ativa a política de exportação contínua no locatário (nível de grupo de gerenciamento raiz), ela transmite automaticamente seus alertas em qualquer nova assinatura que será criada sob esse locatário.

Etapa 5: Para transmitir alertas para o QRadar SIEM - Criar uma conta de armazenamento

  1. Vá para o portal do Azure, selecione Criar um recurso e selecione Conta de armazenamento. Se essa opção não for mostrada, procure por "conta de armazenamento".

  2. Selecione Criar.

  3. Introduza os detalhes da conta de armazenamento, selecione Rever e Criar e, em seguida, Criar.

    Screenshot of creating storage account.

  4. Depois de criar sua conta de armazenamento e ir para o recurso, no menu selecione Chaves de acesso.

  5. Selecione Mostrar chaves para ver as chaves e copie a cadeia de conexão da Chave 1.

    Screenshot of copying storage account key.

Etapa 6: Para transmitir alertas para o Splunk SIEM - Criar um aplicativo Microsoft Entra

  1. Na caixa de pesquisa do menu, procure por "Microsoft Entra ID" e vá para Microsoft Entra ID.

  2. Vá para o portal do Azure, selecione Criar um recurso e selecione Microsoft Entra ID. Se essa opção não for mostrada, procure por "ative directory".

  3. No menu, selecione Registos de aplicações.

  4. Selecione Novo registo.

  5. Insira um nome exclusivo para o aplicativo e selecione Registrar.

    Screenshot of registering application.

  6. Copie para a Área de Transferência e salve a ID do Aplicativo (cliente) e a ID do Diretório (locatário).

  7. Crie o segredo do cliente para o aplicativo:

    1. No menu, vá para Certificados & segredos.
    2. Crie uma senha para o aplicativo para provar sua identidade ao solicitar um token:
    3. Selecione Novo segredo do cliente.
    4. Insira uma breve descrição, escolha o tempo de expiração do segredo e selecione Adicionar.

    Screenshot of creating client secret.

  8. Depois que o segredo for criado, copie a ID secreta e salve-a para uso posterior junto com a ID do aplicativo e a ID do diretório (locatário).

Etapa 7: Para transmitir alertas para o Splunk SIEM - Permitir que o Microsoft Entra ID leia a partir do hub de eventos

  1. Vá para o namespace Hubs de Eventos que você criou.

  2. No menu, vá para Controle de acesso.

  3. Selecione Adicionar e selecione Adicionar atribuição de função.

  4. Selecione Adicionar atribuição de função.

    Screenshot of adding a role assignment.

  5. Na guia Funções, procure Recetor de Dados dos Hubs de Eventos do Azure.

  6. Selecione Seguinte.

  7. Selecione Selecionar membros.

  8. Procure o aplicativo Microsoft Entra que você criou antes e selecione-o.

  9. Selecione Fechar.

Para continuar a configurar a exportação de alertas, instale os conectores internos para o SIEM que você está usando.