İzleme çözümlerine uyarı akışı yapma

Bulut için Microsoft Defender, güvenlik uyarılarını çeşitli Güvenlik Bilgileri ve Olay Yönetimi (SIEM), Güvenlik Düzenleme Otomatik Yanıtı (SOAR) ve BT Hizmet Yönetimi (ITSM) çözümlerine akışla aktarabilme özelliğine sahiptir. Kaynaklarınızda tehditler algılandığında güvenlik uyarıları oluşturulur. Bulut için Defender uyarılar sayfasında uyarıların önceliklerini oluşturur ve listeler ve sorunu hızla araştırmak için gereken ek bilgileri içerir. Algılanan tehdidi düzeltmenize yardımcı olmak için ayrıntılı adımlar sağlanır. Tüm uyarı verileri 90 gün boyunca saklanır.

Uyarı verilerinizi aşağıdaki çözümlerde görüntüleyebilmenizi sağlayan yerleşik Azure araçları vardır:

• Microsoft Sentinel
• Splunk Enterprise ve Splunk Cloud
• Power BI
• ServiceNow
• IBM'in QRadar
• Palo Alto Networks
• ArcSight

Defender XDR API'siyle Defender XDR'ye uyarı akışı

Bulut için Defender ile yerel olarak tümleşirMicrosoft Defender XDR, uyarıları ve olayları Microsoft dışı çözümlere akışla aktarmak için Defender XDR'nin olayları ve uyarıları API'sini kullanmanıza olanak tanır. Bulut için Defender müşteriler tüm Microsoft güvenlik ürünleri için bir API'ye erişebilir ve uyarıları ve olayları dışarı aktarmanın daha kolay bir yolu olarak bu tümleştirmeyi kullanabilir.

SIEM araçlarını Defender XDR ile tümleştirmeyi öğrenin.

Uyarıları Microsoft Sentinel'e akışla aktarın

Bulut için Defender ile yerel olarak tümleşirMicrosoft Sentinel Azure'ın bulutta yerel SIEM ve SOAR çözümü.

Bulut için Defender için Microsoft Sentinel bağlayıcıları

Microsoft Sentinel, abonelik ve kiracı düzeylerinde Bulut için Microsoft Defender için yerleşik bağlayıcılar içerir.

Şunları yapabilirsiniz:

• Uyarıları abonelik düzeyinde Microsoft Sentinel'e akışla aktarın.
• Kiracınızdaki tüm abonelikleri Microsoft Sentinel'e Bağlan.

Bulut için Defender Microsoft Sentinel'e bağladığınızda, Microsoft Sentinel'e alınan Bulut için Defender uyarıların durumu iki hizmet arasında eşitlenir. Örneğin, bir uyarı Bulut için Defender kapatıldığında, bu uyarı Microsoft Sentinel'de de kapalı olarak gösterilir. Bulut için Defender'da bir uyarının durumunu değiştirdiğinizde, Microsoft Sentinel'deki uyarının durumu da güncelleştirilir. Ancak eşitlenmiş Microsoft Sentinel uyarısını içeren Microsoft Sentinel olaylarının durumları güncelleştirilmez.

özgün Bulut için Defender uyarılarının durumunu, Bulut için Defender uyarılarının kopyalarını içeren Microsoft Sentinel olaylarıyla otomatik olarak eşitlemek için çift yönlü uyarı eşitleme özelliğini etkinleştirebilirsiniz. Örneğin, Bulut için Defender uyarısı içeren bir Microsoft Sentinel olayı kapatıldığında Bulut için Defender ilgili özgün uyarıyı otomatik olarak kapatır.

Bulut için Microsoft Defender uyarılarını bağlamayı öğrenin.

Not

çift yönlü uyarı eşitleme özelliği Azure Kamu bulutta kullanılamaz.

Tüm denetim günlüklerinin Microsoft Sentinel'e alımını yapılandırma

Microsoft Sentinel'de Bulut için Defender uyarılarını araştırmanın bir diğer alternatifi de denetim günlüklerinizi Microsoft Sentinel'e akışla aktarmaktır:

• Windows güvenlik olaylarını Bağlan
• Syslog kullanarak Linux tabanlı kaynaklardan veri toplama
• Azure Etkinlik günlüğünden verileri Bağlan

İpucu

Microsoft Sentinel, Microsoft Sentinel'de analiz için alınan ve Azure İzleyici Log Analytics çalışma alanında depolayan veri hacmine göre faturalandırılır. Microsoft Sentinel esnek ve öngörülebilir bir fiyatlandırma modeli sunar. Microsoft Sentinel fiyatlandırma sayfasında daha fazla bilgi edinin.

Uyarıları QRadar ve Splunk'a akışla aktar

Güvenlik uyarılarını Splunk ve QRadar'a aktarmak için Event Hubs'ı ve yerleşik bağlayıcıyı kullanmanız gerekir. Aboneliğiniz veya kiracınız için güvenlik uyarılarını dışarı aktarma gereksinimlerini ayarlamak için bir PowerShell betiği veya Azure portalı kullanabilirsiniz. Gereksinimler uygulandıktan sonra çözümü SIEM platformuna yüklemek için her SIEM'e özgü yordamı kullanmanız gerekir.

Önkoşullar

Uyarıları dışarı aktarmak için Azure hizmetlerini ayarlamadan önce şunları yaptığınızdan emin olun:

• Azure aboneliği (Ücretsiz hesap oluşturma)
• Azure kaynak grubu (Kaynak grubu oluşturma)
• Uyarı kapsamındaki sahip rolü (abonelik, yönetim grubu veya kiracı) veya şu belirli izinler:
  • Olay hub'ları ve Event Hubs İlkesi için yazma izinleri
  • Mevcut bir Microsoft Entra uygulamasını kullanmıyorsanız Microsoft Entra uygulamaları için izinler oluşturma
  • 'DeployIfNotExist' Azure İlkesi kullanıyorsanız, ilkeler için izinler atayın

Azure hizmetlerini ayarlama

Azure ortamınızı aşağıdakilerden birini kullanarak sürekli dışarı aktarmayı destekleyecek şekilde ayarlayabilirsiniz:

PowerShell betiği (Önerilen)

1. PowerShell betiğini indirin ve çalıştırın.

2. Gerekli parametreleri girin.

3. Betiği yürütün.

Betik tüm adımları sizin için gerçekleştirir. Betik tamamlandığında, çözümü SIEM platformuna yüklemek için çıktıyı kullanın.

Azure portal

1. Azure Portal’ında oturum açın.

2. Event Hubs araması yapın ve sonuçlardan bunu seçin.

3. Event Hubs ad alanı ve olay hub'ı oluşturun.

4. olay hub'ı için izinlere sahip Send bir ilke tanımlayın.

Uyarıları QRadar'a akışla aktarıyorsanız:

1. Olay hub'ı Listen ilkesi oluşturun.

2. QRadar'da kullanılacak ilkenin bağlantı dizesi kopyalayın ve kaydedin.

3. Bir tüketici grubu oluşturun.

4. SIEM platformunda kullanmak için adı kopyalayın ve kaydedin.

5. Güvenlik uyarılarının tanımlanan olay hub'ına sürekli dışarı aktarmasını etkinleştirin.

6. Depolama hesabı oluşturma.

7. QRadar'da kullanmak üzere bağlantı dizesi kopyalayın ve hesaba kaydedin.

Daha ayrıntılı yönergeler için bkz . Azure kaynaklarını Splunk ve QRadar'a dışarı aktarma için hazırlama.

Uyarıları Splunk'a akışla aktarıyorsanız:

1. Bir Microsoft Entra uygulaması oluşturun.

2. Kiracı, Uygulama Kimliği ve Uygulama parolasını kaydedin.

3. Microsoft Entra Uygulaması'na daha önce oluşturduğunuz olay hub'ından okuma izni verin.

Daha ayrıntılı yönergeler için bkz . Azure kaynaklarını Splunk ve QRadar'a dışarı aktarma için hazırlama.

Yerleşik bağlayıcıları kullanarak olay hub'ını tercih ettiğiniz çözüme Bağlan

Her SIEM platformunda, Azure Event Hubs'dan uyarılar almasına olanak tanıyan bir araç vardır. Uyarıları almaya başlamak için platformunuzun aracını yükleyin.

Araç	Azure'da barındırılan	Açıklama
IBM QRadar	Hayır	Microsoft Azure DSM ve Microsoft Azure Event Hubs Protokolü IBM destek web sitesinden indirilebilir.
Splunk	Hayır	Microsoft Cloud Services için Splunk Eklentisi, Splunkbase'de kullanılabilen açık kaynak bir projedir. Splunk örneğinize bir eklenti yükleyemiyorsanız, örneğin bir ara sunucu kullanıyorsanız veya Splunk Cloud'da çalıştırıyorsanız, olay hub'ında yeni iletiler tarafından tetiklenen Splunk için Azure İşlevi'ni kullanarak bu olayları Splunk HTTP Olay Toplayıcısı'na iletebilirsiniz.

Sürekli dışarı aktarma ile uyarıları akışla aktarma

ArcSight, SumoLogic, Syslog sunucuları, LogRhythm, Logz.io Bulut Gözlemlenebilirlik Platformu ve diğer izleme çözümlerine uyarı akışı yapmak için sürekli dışarı aktarma ve Azure Event Hubs kullanarak Bulut için Defender bağlanın.

Not

Uyarıları kiracı düzeyinde akışla yayınlamak için bu Azure ilkesini kullanın ve kapsamı kök yönetim grubunda ayarlayın. Bulut için Defender izinler: Bulut için Microsoft Defender uyarıları ve önerileri için bir olay hub'ına dışarı aktarma dağıtma bölümünde açıklandığı gibi kök yönetim grubu için izinlere ihtiyacınız vardır.

Sürekli dışarı aktarma ile uyarıları akışla aktarmak için:

1. Sürekli dışarı aktarmayı etkinleştir:

   • Abonelik düzeyinde.
   • Azure İlkesi kullanarak Yönetim Grubu düzeyinde.

2. Yerleşik bağlayıcıları kullanarak olay hub'ını tercih ettiğiniz çözüme Bağlan:

   Araç	Azure'da barındırılan	Açıklama
   SumoLogic	Hayır	SumoLogic'i bir olay hub'ından veri kullanacak şekilde ayarlama yönergeleri event hub'larından Azure Denetim Uygulaması için Günlükleri Toplama makalesinde bulunabilir.
   ArcSight	Hayır	ArcSight Azure Event Hubs akıllı bağlayıcısı, ArcSight akıllı bağlayıcı koleksiyonunun bir parçası olarak kullanılabilir.
   Syslog sunucusu	Hayır	Azure İzleyici verilerini doğrudan bir syslog sunucusuna akışla aktarmayı istiyorsanız, Azure işlevini temel alan bir çözüm kullanabilirsiniz.
   LogRhythm	Hayır	LogRhythm'yi bir olay hub'ından günlükleri toplayacak şekilde ayarlama yönergelerine buradan ulaşabilirsiniz.
   Logz.io	Yes	Daha fazla bilgi için bkz . Azure'da çalışan Java uygulamaları için Logz.io kullanarak izleme ve günlüğe kaydetmeye başlama

3. (İsteğe bağlı) Ham günlükleri olay hub'ına aktarın ve tercih ettiğiniz çözüme bağlanın. Kullanılabilir verileri izleme hakkında daha fazla bilgi edinin.

Dışarı aktarılan veri türlerinin olay şemalarını görüntülemek için Event Hubs olay şemalarını ziyaret edin.

Microsoft Graph Güvenlik API'sini kullanarak Microsoft dışı uygulamalara uyarı akışı yapın

Bulut için Defender yerleşik tümleştirmesi Başka yapılandırma gereksinimlerine gerek kalmadan Microsoft Graph Güvenlik API'sini kullanın.

Bu API'yi kullanarak kiracınızın tamamından (ve birçok Microsoft Güvenlik ürününden alınan veriler) Microsoft dışı SIEM'lere ve diğer popüler platformlara uyarı akışı yapabilirsiniz:

• Splunk Enterprise ve Splunk Bulutu - Splunk için Microsoft Graph Güvenlik API'sini Kullanma Eklentisi
• Power BI - Bağlan Power BI Desktop'taki Microsoft Graph Güvenlik API'sine gidin.
• ServiceNow ServiceNow - Store'dan Microsoft Graph Güvenlik API'sini yükleyin ve yapılandırın.
• QRadar - Microsoft Graph API aracılığıyla Bulut için Microsoft Defender için IBM'in Cihaz Destek Modülünü kullanın.
• Palo Alto Networks, Anomali, Lookout, InSpark ve daha fazlası - Microsoft Graph Güvenlik API'sini kullanın.

Not

Uyarıları dışarı aktarmanın tercih edilen yolu, Bulut için Microsoft Defender verileri sürekli dışarı aktarmaktır.

Sonraki adımlar

Bu sayfada, Bulut için Microsoft Defender uyarı verilerinizin SIEM, SOAR veya ITSM aracınızda kullanılabilir olmasını nasıl sağlayacağınız açıklanmıştır. İlgili malzemeler için bkz:

• Microsoft Sentinel nedir?
• Bulut için Microsoft Defender uyarı doğrulaması - Uyarılarınızın doğru yapılandırıldığını doğrulayın
• Bulut için Defender verilerini sürekli dışarı aktarma