Udostępnij za pośrednictwem

Przygotowywanie zasobów platformy Azure do eksportowania do rozwiązania Splunk i QRadar

  • Artykuł

Aby przesyłać strumieniowo alerty zabezpieczeń Microsoft Defender dla Chmury do produktów IBM QRadar i Splunk, musisz skonfigurować zasoby na platformie Azure, takie jak Event Hubs i Microsoft Entra ID. Poniżej przedstawiono instrukcje dotyczące konfigurowania tych zasobów w witrynie Azure Portal, ale można je również skonfigurować przy użyciu skryptu programu PowerShell. Przed skonfigurowaniem zasobów platformy Azure na potrzeby eksportowania alertów do usługi QRadar i Splunk przejrzyj alerty usługi Stream w usługach QRadar i Splunk.

Aby skonfigurować zasoby platformy Azure dla narzędzi QRadar i Splunk w witrynie Azure Portal:

Krok 1. Tworzenie przestrzeni nazw usługi Event Hubs i centrum zdarzeń z uprawnieniami wysyłania

  1. W usłudze Event Hubs utwórz przestrzeń nazw usługi Event Hubs:

    1. Wybierz pozycję Utwórz.
    2. Wprowadź szczegóły przestrzeni nazw, wybierz pozycję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający tworzenie przestrzeni nazw usługi Event Hubs w usłudze Microsoft Event Hubs.

  2. Tworzenie centrum zdarzeń:

    1. W utworzonej przestrzeni nazw wybierz pozycję + Centrum zdarzeń.
    2. Wprowadź szczegóły centrum zdarzeń, a następnie wybierz pozycję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

  3. Utwórz zasady dostępu współdzielonego.

    1. W menu Centrum zdarzeń wybierz utworzoną przestrzeń nazw usługi Event Hubs.
    2. W menu przestrzeni nazw centrum zdarzeń wybierz pozycję Event Hubs.
    3. Wybierz centrum zdarzeń, które zostało właśnie utworzone.
    4. W menu centrum zdarzeń wybierz pozycję Zasady dostępu współdzielonego.
    5. Wybierz pozycję Dodaj, wprowadź unikatową nazwę zasad i wybierz pozycję Wyślij.
    6. Wybierz pozycję Utwórz, aby utworzyć zasady. Zrzut ekranu przedstawiający tworzenie zasad udostępnionych w usłudze Microsoft Event Hubs.

Krok 2. Przesyłanie strumieniowe do rozwiązania QRadar SIEM — tworzenie zasad nasłuchiwania

  1. Wybierz pozycję Dodaj, wprowadź unikatową nazwę zasad i wybierz pozycję Nasłuchiwanie.

  2. Wybierz pozycję Utwórz, aby utworzyć zasady.

  3. Po utworzeniu zasad nasłuchiwania skopiuj klucz podstawowy parametrów połączenia i zapisz go w celu późniejszego użycia.

    Zrzut ekranu przedstawiający tworzenie zasad nasłuchiwania w usłudze Microsoft Event Hubs.

Krok 3. Tworzenie grupy odbiorców, a następnie kopiowanie i zapisywanie nazwy do użycia na platformie SIEM

  1. W sekcji Jednostki menu centrum zdarzeń usługi Event Hubs wybierz pozycję Event Hubs i wybierz utworzone centrum zdarzeń.

    Zrzut ekranu przedstawiający otwieranie centrum zdarzeń Microsoft Event Hubs.

  2. Wybierz pozycję Grupa odbiorców.

Krok 4. Włączanie eksportu ciągłego dla zakresu alertów

  1. W polu wyszukiwania platformy Azure wyszukaj ciąg "zasady" i przejdź do obszaru Zasady.

  2. W menu Zasady wybierz pozycję Definicje.

  3. Wyszukaj ciąg "deploy export" (Wdróż eksport) i wybierz pozycję Deploy export to Event Hub (Wdróż eksport do centrum zdarzeń) dla Microsoft Defender dla Chmury wbudowanych zasad dotyczących danych.

  4. Zaznacz Przypisz.

  5. Zdefiniuj podstawowe opcje zasad:

    1. W obszarze Zakres wybierz pozycję ... aby wybrać zakres, do których mają być stosowane zasady.
    2. Znajdź główną grupę zarządzania (dla zakresu dzierżawy), grupę zarządzania, subskrypcję lub grupę zasobów w zakresie i wybierz pozycję Wybierz.
      • Aby wybrać główny poziom grupy zarządzania dzierżawy, musisz mieć uprawnienia na poziomie dzierżawy.
    3. (Opcjonalnie) W obszarze Wykluczenia można zdefiniować określone subskrypcje do wykluczenia z eksportu.
    4. Wprowadź nazwę przypisania.
    5. Upewnij się, że wymuszanie zasad jest włączone.

    Zrzut ekranu przedstawiający przypisanie zasad eksportu.

  6. W parametrach zasad:

    1. Wprowadź grupę zasobów, w której jest zapisywany zasób automatyzacji.
    2. Wybierz lokalizację grupy zasobów.
    3. Wybierz ikonę ... obok szczegółów centrum zdarzeń i wprowadź szczegóły centrum zdarzeń, w tym:
      • Subskrypcja.
      • Utworzona przestrzeń nazw usługi Event Hubs.
      • Utworzone przez Ciebie centrum zdarzeń.
      • W obszarze authorizationrules wybierz zasady dostępu współdzielonego utworzone do wysyłania alertów.

    Zrzut ekranu przedstawiający parametry zasad eksportu.

  7. Wybierz pozycję Przeglądanie i tworzenie i tworzenie , aby zakończyć proces definiowania eksportu ciągłego do usługi Event Hubs.

    • Zwróć uwagę, że po aktywowaniu zasad eksportu ciągłego na poziomie dzierżawy (głównej grupy zarządzania) automatycznie przesyła strumieniowo alerty do każdej nowej subskrypcji, która zostanie utworzona w ramach tej dzierżawy.

Krok 5. W przypadku alertów przesyłania strumieniowego do rozwiązania QRadar SIEM — tworzenie konta magazynu

  1. Przejdź do witryny Azure Portal, wybierz pozycję Utwórz zasób, a następnie wybierz pozycję Konto magazynu. Jeśli ta opcja nie jest wyświetlana, wyszukaj ciąg "konto magazynu".

  2. Wybierz pozycję Utwórz.

  3. Wprowadź szczegóły konta magazynu, wybierz pozycję Przejrzyj i utwórz, a następnie pozycję Utwórz.

    Zrzut ekranu przedstawiający tworzenie konta magazynu.

  4. Po utworzeniu konta magazynu i przejściu do zasobu w menu wybierz pozycję Klucze dostępu.

  5. Wybierz pozycję Pokaż klucze, aby wyświetlić klucze, a następnie skopiuj parametry połączenia klucza 1.

    Zrzut ekranu przedstawiający kopiowanie klucza konta magazynu.

Krok 6. W przypadku alertów przesyłanych strumieniowo do rozwiązania Splunk SIEM — tworzenie aplikacji Firmy Microsoft Entra

  1. W polu wyszukiwania menu wyszukaj ciąg "Microsoft Entra ID" i przejdź do pozycji Microsoft Entra ID.

  2. Przejdź do witryny Azure Portal, wybierz pozycję Utwórz zasób i wybierz pozycję Microsoft Entra ID. Jeśli ta opcja nie jest wyświetlana, wyszukaj ciąg "active directory".

  3. W menu wybierz pozycję Rejestracje aplikacji.

  4. Wybierz opcjęNowa rejestracja.

  5. Wprowadź unikatową nazwę aplikacji i wybierz pozycję Zarejestruj.

    Zrzut ekranu przedstawiający rejestrowanie aplikacji.

  6. Skopiuj do Schowka i zapisz identyfikator aplikacji (klienta) i identyfikator katalogu (dzierżawy).

  7. Utwórz klucz tajny klienta dla aplikacji:

    1. W menu przejdź do pozycji Certyfikaty i wpisy tajne.
    2. Utwórz hasło dla aplikacji, aby udowodnić swoją tożsamość podczas żądania tokenu:
    3. Wybierz Nowy klucz tajny klienta.
    4. Wprowadź krótki opis, wybierz czas wygaśnięcia wpisu tajnego, a następnie wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający tworzenie wpisu tajnego klienta.

  8. Po utworzeniu wpisu tajnego skopiuj identyfikator wpisu tajnego i zapisz go do późniejszego użycia wraz z identyfikatorem aplikacji i identyfikatorem katalogu (dzierżawy).

Krok 7. W przypadku alertów przesyłanych strumieniowo do rozwiązania Splunk SIEM — zezwól usłudze Microsoft Entra ID na odczyt z centrum zdarzeń

  1. Przejdź do utworzonej przestrzeni nazw usługi Event Hubs.

  2. W menu przejdź do pozycji Kontrola dostępu.

  3. Wybierz pozycję Dodaj i wybierz pozycję Dodaj przypisanie roli.

  4. Wybierz pozycję Dodaj przypisanie roli.

    Zrzut ekranu przedstawiający dodawanie przypisania roli.

  5. Na karcie Role wyszukaj pozycję Odbiornik danych usługi Azure Event Hubs.

  6. Wybierz Dalej.

  7. Wybierz pozycję Wybierz członków.

  8. Wyszukaj utworzoną wcześniej aplikację Microsoft Entra i wybierz ją.

  9. Wybierz Zamknij.

Aby kontynuować konfigurowanie eksportowania alertów, zainstaluj wbudowane łączniki dla używanego rozwiązania SIEM.