Preparar recursos do Azure para exportação para o Splunk e o QRadar

Artigo
08/08/2024

Para transmitir os alertas de segurança do Microsoft Defender para Nuvem para o IBM QRadar e o Splunk, você precisa configurar recursos no Azure, como os Hubs de Eventos e o Microsoft Entra ID. Aqui estão as instruções para configurar esses recursos no portal do Azure, mas você também pode configurá-los usando um script do PowerShell. Verifique se você revisou os alertas do Stream para o QRadar e o Splunk antes de configurar os recursos do Azure para exportar alertas para QRadar e Splunk.

Para configurar os recursos do Azure para o QRadar e o Splunk no portal do Azure:

Etapa 1: criar um namespace dos Hubs de Eventos e um hub de eventos com permissões de envio

No serviço Hubs de Eventos, crie um namespace dos Hubs de Eventos:
1. Selecione Criar.
2. Insira os detalhes do namespace, selecione Examinar + criar e selecione Criar.
Criar um hub de eventos:
1. No namespace criado, selecione + Hub de Eventos.
2. Insira os detalhes do hub de eventos e selecione Examinar + criar e selecione Criar.
Criar uma política de acesso compartilhado.
1. No menu do Hub de Eventos, selecione o namespace dos Hubs de Eventos criado.
2. No menu namespace do Hub de Eventos, selecione Hubs de Eventos.
3. Selecione o hub de eventos que você acabou de criar.
4. No menu do hub de eventos, selecione Políticas de acesso compartilhado.
5. Selecione Adicionar, insira um nome de política exclusivo e selecione Enviar.
6. Selecione Criar para criar a política.

Etapa 2: para streaming para o QRadar do SIEM – Criar uma Política de escuta

Selecione Adicionar, insira um nome de política exclusivo e selecione Escutar.
Selecione Criar para criar a política.
Depois que a política de escuta for criada, copie a Chave primária da cadeia de conexão e salve-a para usar posteriormente.

Etapa 3: criar um grupo de consumidores e, em seguida, copiar e salvar o nome a ser usado na plataforma do SIEM

Na seção Entidades do menu do hub de eventos dos Hubs de Eventos, selecione Hubs de Eventos e selecione o hub de eventos criado.
Selecione Grupo de consumidores.

Etapa 4: habilitar a exportação contínua para o escopo dos alertas

Na caixa de pesquisa do Azure, pesquise por "política" e acesse o Azure Policy.
No menu do Azure Policy, selecione Definições.
Pesquise por “implantar exportação” e selecione a política interna Implantar exportação no Hub de Eventos para dados do Microsoft Defender para Nuvem.
Selecione Atribuir.
Defina as opções básicas de política:
1. No Escopo, selecione o ... para selecionar o escopo ao qual aplicar a política.
2. Localize o grupo de gerenciamento raiz (para escopo de locatário), grupo de gerenciamento, assinatura ou grupo de recursos no escopo e selecione Selecionar.
  - Para selecionar um nível de grupo de gerenciamento raiz de locatário, você precisa ter permissões no nível do locatário.
3. (Opcional) Em Exclusões, você pode definir assinaturas específicas a serem excluídas da exportação.
4. Insira um nome de atribuição.
5. Verifique se a imposição de política está habilitada.
Nos parâmetros da política:
1. Insira o grupo de recursos em que o recurso de automação é salvo.
2. Selecione a localização do grupo de recursos.
3. Selecione o ... ao lado dos detalhes do Hub de Eventos e insira os detalhes do hub de eventos, incluindo:
  - Assinatura.
  - O namespace dos Hubs de Eventos criado.
  - O hub de eventos que você criou.
  - Em autorizações, selecione a política de acesso compartilhado que você criou para enviar alertas.
Selecione Examinar e Criar e Criar para concluir o processo de definição da exportação contínua para os Hubs de Eventos.
- Observe que ao ativar a política de exportação contínua no locatário (nível do grupo de gerenciamento raiz), ela transmite automaticamente seus alertas em qualquer nova assinatura que será criada sob esse locatário.

Etapa 5: para alertas de streaming para o QRadar do SIEM – Criar uma conta de armazenamento

Acesse o portal do Azure, selecione Criar um recurso e selecione Conta de Armazenamento. Se essa opção não for mostrada, pesquise por "conta de armazenamento".
Selecione Criar.
Insira os detalhes da conta de armazenamento, selecione Examinar e Criar e, em seguida, Criar.
Depois de criar sua conta de armazenamento e ir para o recurso, no menu selecione Chaves de Acesso.
Selecione Mostrar chaves para ver as chaves e copie a cadeia de conexão da Chave 1.

Etapa 6: no caso de alertas de streaming para o SIEM do Splunk – Criar um aplicativo do Microsoft Entra

Na caixa de pesquisa do menu, pesquise “Microsoft Entra ID” e acesse o Microsoft Entra ID.
Acesse o portal do Azure, selecione Criar um recurso e escolha Microsoft Entra ID. Se essa opção não for mostrada, procure por "active directory".
No menu, selecione Registros de aplicativo.
Selecione Novo registro.
Insira um nome exclusivo para o aplicativo e selecione Registrar.
Copie para a Área de Transferência e salve a ID do aplicativo (cliente) e a ID do Diretório (locatário).
Crie o segredo do cliente para o aplicativo:
1. No menu, vá para Certificados & segredos.
2. Crie uma senha para o aplicativo provar sua identidade ao solicitar um token:
3. Selecione Novo segredo do cliente.
4. Insira uma breve descrição, escolha a hora de expiração do segredo e selecione Adicionar.
Depois que o segredo for criado, copie a ID do Segredo e salve-a para uso posterior junto com a ID do aplicativo e a ID do diretório (locatário).

Etapa 7: no caso de alertas de streaming para o SIEM do Splunk – Permitir que o Microsoft Entra ID leia o hub de eventos

Acesse o namespace dos Hubs de Eventos criado.
No menu, acesse o Controle de acesso.
Selecione Adicionar e escolha Adicionar atribuição de função.
Selecione Adicionar atribuição de função.
Na guia Funções, pesquise Receptor de Dados dos Hubs de Eventos do Azure.
Selecione Avançar.
Selecione Selecionar membros.
Procure o aplicativo do Microsoft Entra criado antes e o selecione.
Selecione Fechar.

Para continuar configurando a exportação de alertas, instale os conectores internos para o SIEM que você está usando.

Compartilhar via