將警示串流至監視解決方案

適用於雲端的 Microsoft Defender 能夠將安全性警示串流至各種安全性資訊和事件管理 （SIEM）、安全性協調流程自動化回應 （SOAR） 和 IT 服務管理 （ITSM） 解決方案。 當您的資源上偵測到威脅時，會產生安全性警示。 適用於雲端的 Defender 排定優先順序，並在 [警示] 頁面上列出警示，以及快速調查問題所需的其他資訊。 提供詳細的步驟來協助您補救偵測到的威脅。 所有警示數據都會保留90天。

有內建的 Azure 工具可供使用，以確保您可以在下列解決方案中檢視警示數據：

• Microsoft Sentinel
• Splunk Enterprise 和 Splunk Cloud
• Power BI
• ServiceNow
• IBM 的 QRadar
• Palo Alto Networks
• ArcSight

使用 Defender XDR API 將警示串流至 Defender XDR

適用於雲端的 Defender 原生整合 Microsoft Defender 全面偵測回應 可讓您使用Defender XDR的事件和警示 API，將警示和事件串流至非 Microsoft 解決方案。 適用於雲端的 Defender 客戶可以存取所有 Microsoft 安全性產品的一個 API，並可以使用這項整合作為導出警示和事件的更簡單方式。

瞭解如何 整合 SIEM 工具與 Defender XDR。

將警示串流至 Microsoft Sentinel

適用於雲端的 Defender 原生整合Microsoft Sentinel Azure 的雲端原生 SIEM 和 SOAR 解決方案。

適用於 適用於雲端的 Defender 的 Microsoft Sentinel 連接器

Microsoft Sentinel 包含訂用帳戶和租用戶層級 適用於雲端的 Microsoft Defender 的內建連接器。

您可以：

• 將警示串流至訂用帳戶層級的 Microsoft Sentinel。
• 連線 租使用者中的所有訂用帳戶至 Microsoft Sentinel。

當您將 適用於雲端的 Defender 連線至 Microsoft Sentinel 時，適用於雲端的 Defender 擷取至 Microsoft Sentinel 的警示狀態會在兩個服務之間同步處理。 例如，當警示在 適用於雲端的 Defender 中關閉時，該警示也會在 Microsoft Sentinel 中顯示為已關閉。 當您變更 適用於雲端的 Defender 警示的狀態時，Microsoft Sentinel 中的警示狀態也會更新。 不過，不會更新包含已同步處理之 Microsoft Sentinel 警示的任何 Microsoft Sentinel 事件 狀態。

您可以啟用雙向警示同步處理功能，以使用包含 適用於雲端的 Defender 警示複本的 Microsoft Sentinel 事件，自動同步處理原始 適用於雲端的 Defender 警示的狀態。 例如，當包含 適用於雲端的 Defender 警示的 Microsoft Sentinel 事件關閉時，適用於雲端的 Defender 會自動關閉對應的原始警示。

瞭解如何從 適用於雲端的 Microsoft Defender 連線警示。

注意

Azure Government 雲端中無法使用雙向警示同步處理功能。

設定將所有稽核記錄擷取到 Microsoft Sentinel

在 Microsoft Sentinel 中調查 適用於雲端的 Defender 警示的另一個替代方案，是將您的稽核記錄串流至 Microsoft Sentinel：

• 連線 Windows 安全性事件
• 使用 Syslog 從以 Linux 為基礎的來源收集數據
• 從 Azure 活動記錄 連線 數據

提示

Microsoft Sentinel 是根據在 Microsoft Sentinel 中擷取並儲存在 Azure 監視器 Log Analytics 工作區中進行分析的數據量計費。 Microsoft Sentinel 提供彈性且可預測的定價模式。 如需詳細資訊，請參閱 Microsoft Sentinel 定價頁面。

將警示串流至 QRadar 和 Splunk

若要將安全性警示導出至 Splunk 和 QRadar，您必須使用事件中樞和內建連接器。 您可以使用 PowerShell 腳本或 Azure 入口網站 來設定匯出訂用帳戶或租使用者安全性警示的需求。 需求就緒后，您必須使用每個 SIEM 特定的程式，在 SIEM 平臺中安裝解決方案。

必要條件

設定用於匯出警示的 Azure 服務之前，請確定您有：

• Azure 訂用帳戶 （建立免費帳戶）
• Azure 資源群組 （建立資源群組）
• 警示範圍（訂用帳戶、管理群組或租使用者）或這些特定許可權的擁有者 角色：
  • 事件中樞和事件中樞原則的寫入許可權
  • 如果您未使用現有的 Microsoft Entra 應用程式，請建立 Microsoft Entra 應用程式的許可權
  • 如果您使用 Azure 原則 『DeployIfNotExist』 來指派原則的許可權

設定 Azure 服務

您可以使用下列其中一項來設定 Azure 環境以支援連續匯出：

PowerShell 腳本（建議）

1. 下載並執行 PowerShell腳本。

2. 輸入必要參數。

3. 執行指令碼。

腳本會為您執行所有步驟。 當文稿完成時，請使用輸出在 SIEM 平臺中安裝解決方案。

Azure 入口網站

1. 登入 Azure 入口網站。

2. 搜尋並選取 Event Hubs。

3. 建立事件中樞命名空間和事件中樞。

4. 使用許可權定義事件中樞 Send 的原則。

如果您要將警示串流處理至 QRadar：

1. 建立事件中樞 Listen 原則。

2. 複製並儲存原則 連接字串，以用於 QRadar。

3. 建立取用者群組。

4. 複製並儲存要用於 SIEM 平台的名稱。

5. 啟用對已定義事件中樞的安全性警示持續匯出。

6. 建立儲存體帳戶。

7. 將 連接字串 複製並儲存至帳戶，以在 QRadar 中使用。

如需更詳細的指示，請參閱 準備 Azure 資源以導出至 Splunk 和 QRadar。

如果您要將警示串流處理至 Splunk：

1. 建立 Microsoft Entra 應用程式。

2. 儲存租使用者、應用程式識別碼和應用程式密碼。

3. 授與 Microsoft Entra Application 的許可權，以從您之前建立的事件中樞讀取。

如需更詳細的指示，請參閱 準備 Azure 資源以導出至 Splunk 和 QRadar。

使用內建連接器將事件中樞 連線 至您慣用的解決方案

每個 SIEM 平臺都有一個工具，可讓其接收來自 Azure 事件中樞 的警示。 安裝平臺的工具，以開始接收警示。

工具	裝載於 Azure 中	描述
IBM QRadar	No	Microsoft Azure DSM 與 Microsoft Azure 事件中樞通訊協定均可從 IBM 支援網站下載。
Splunk	No	適用於 Microsoft 雲端服務 的 Splunk 附加元件是 Splunkbase 中提供的 開放原始碼 專案。 如果您無法在 Splunk 實例中安裝附加元件，例如，如果您使用 Proxy 或在 Splunk Cloud 上執行，您可以使用適用於 Splunk 的 Azure Function For Splunk，將這些事件轉送至 Splunk HTTP 事件收集器 ，而 Splunk 是由事件中樞的新訊息所觸發。

使用連續導出串流警示

若要將警示串流至 ArcSight、SumoLogic、Syslog 伺服器、LogRhythm、Logz.io Cloud Observability Platform 和其他監視解決方案，請使用連續導出和 Azure 事件中樞 聯機 適用於雲端的 Defender。

注意

若要在租用戶層級串流警示，請使用此 Azure 原則，並在根管理群組設定範圍。 您需要根管理群組的許可權，如 適用於雲端的 Defender 許可權中所述：部署匯出至事件中樞，以取得 適用於雲端的 Microsoft Defender 警示和建議。

若要串流持續匯出的警示：

1. 開啟連續匯出：

   • 在訂用 帳戶層級。
   • 在使用 Azure 原則 的管理群組層級。

2. 使用內建連接器將事件中樞 連線 至您慣用的解決方案：

   工具	裝載於 Azure 中	描述
   sumologic	No	如需設定 SumoLogic 以從事件中樞取用資料的指示，請參閱從事件中樞收集 Azure 稽核應用程式的記錄 (英文)。
   ArcSight	No	「ArcSight Azure 事件中樞」智慧型連接器隨附於 ArcSight 智慧型連接器集合。
   Syslog 伺服器	No	如果您想要將 Azure 監視器數據直接串流至 syslog 伺服器，您可以使用 以 Azure 函式為基礎的解決方案。
   LogRhythm	No	您可以在這裏取得設定 LogRhythm 以從事件中樞收集記錄的指示。
   Logz.io	Yes	如需詳細資訊，請參閱 針對在 Azure 上執行的 Java 應用程式使用 Logz.io 開始使用監視和記錄

3. （選擇性）將原始記錄串流至事件中樞，並連線到您慣用的解決方案。 深入了解監視 可用數據。

若要檢視導出數據類型的事件架構，請流覽事件中 樞事件架構。

使用 Microsoft Graph 安全性 API 將警示串流至非 Microsoft 應用程式

適用於雲端的 Defender的內建整合Microsoft Graph 安全性 API 不需要任何進一步的設定需求。

您可以使用此 API，將 整個租 使用者的警示（以及許多 Microsoft 安全性產品的數據）串流至非 Microsoft SIEM 和其他熱門平臺：

• Splunk Enterprise 和 Splunk Cloud - 使用 Microsoft Graph 安全性 API Splunk 的附加元件
• Power BI 連線 Power BI - Desktop 中的 Microsoft Graph 安全性 API。
• ServiceNow 從 ServiceNow - Store 安裝及設定 Microsoft Graph 安全性 API 應用程式。
• QRadar - 透過 Microsoft Graph API 使用 IBM 的裝置支援模組進行 適用於雲端的 Microsoft Defender。
• Palo Alto Networks、Anomali、Lookout、InSpark 等等 - 使用 Microsoft Graph 安全性 API。

注意

匯出警示的慣用方式是透過持續導出 適用於雲端的 Microsoft Defender 數據。

下一步

此頁面說明如何確保您的 適用於雲端的 Microsoft Defender 警示數據可在您選擇的 SIEM、SOAR 或 ITSM 工具中使用。 如需相關數據，請參閱：

• 什麼是 Microsoft Sentinel？
• 適用於雲端的 Microsoft Defender 中的警示驗證 - 確認已正確設定警示
• 持續匯出 適用於雲端的 Defender 數據