Поделиться через

Подготовка ресурсов Azure для экспорта в Splunk и QRadar

  • Статья

Для потоковой передачи Microsoft Defender для облака оповещений системы безопасности в IBM QRadar и Splunk необходимо настроить ресурсы в Azure, такие как Центры событий и идентификатор Microsoft Entra. Ниже приведены инструкции по настройке этих ресурсов на портале Azure, но вы также можете настроить их с помощью скрипта PowerShell. Перед настройкой ресурсов Azure для экспорта оповещений в QRadar и Splunk обязательно просмотрите раздел Потоковая передача оповещений в QRadar и Splunk.

Чтобы настроить ресурсы Azure для QRadar и Splunk на портале Azure:

Шаг 1. Создание пространства имен Центров событий и концентратора событий с разрешениями на отправку

  1. В службе Центров событий создайте пространство имен Центров событий.

    1. Нажмите кнопку создания.
    2. Введите сведения о пространстве имен, выберите Проверить и создать и щелкните Создать.

    Снимок экрана: создание пространства имен Центров событий в Центрах событий Майкрософт.

  2. Создайте концентратор событий.

    1. В создаваемом пространстве имен выберите + Концентратор событий.
    2. Введите сведения о концентраторе событий, выберите Проверить и создать и щелкните Создать.

  3. Создайте политику общего доступа.

    1. В меню концентратора событий выберите созданное пространство имен Центров событий.
    2. В меню пространства имен концентратора событий выберите Центры событий.
    3. Выберите только что созданный концентратор событий.
    4. В меню концентратора событий выберите Политики общего доступа.
    5. Выберите Добавить, введите уникальное имя политики и щелкните Отправить.
    6. Щелкните Создать, чтобы создать политику. Снимок экрана: создание общей политики в Центрах событий Майкрософт.

Шаг 2. Потоковая передача в QRadar SIEM — создание политики прослушивания

  1. Выберите Добавить, введите уникальное имя политики и щелкните Прослушать.

  2. Щелкните Создать, чтобы создать политику.

  3. После создания политики прослушивания скопируйте первичный ключ строки подключения и сохраните его для последующего использования.

    Снимок экрана: создание политики прослушивания в Центрах событий Майкрософт.

Шаг 3. Создание группы потребителей, а затем копирование и сохранение имени для использования на платформе SIEM

  1. В разделе "Сущности" в меню концентратора событий Центров событий щелкните Центры событий и выберите созданный концентратор событий.

    Снимок экрана: открытие центров событий Microsoft Event Hubs.

  2. Выберите Группа потребителей.

Шаг 4. Включение непрерывного экспорта для области оповещений

  1. В поле поиска Azure введите "политика" и перейдите к Политике.

  2. В меню Политики выберите Определения.

  3. Найдите "Развернуть экспорт" и выберите "Развернуть экспорт в Концентратор событий" для Microsoft Defender для облака встроенной политики данных.

  4. Выберите Назначить.

  5. Определите основные параметры политики.

    1. В области щелкните ..., чтобы выбрать область для применения политики.
    2. Найдите корневую группу управления (для области арендатора), группу управления, подписку или группу ресурсов в области и щелкните Выбрать.
      • Чтобы выбрать уровень корневой группы управления арендатора, необходимо иметь разрешения на уровне арендатора.
    3. (Необязательно.) В разделе исключений вы можете определить определенные подписки для исключения из экспорта.
    4. Введите имя назначения.
    5. Убедитесь, что применение политики включено.

    Снимок экрана: назначение политики экспорта.

  6. В параметрах политики:

    1. Введите группу ресурсов, в которой сохранен ресурс автоматизации.
    2. Выберите расположение группы ресурсов.
    3. Выберите ...рядом с сведениями о концентраторе событий и введите сведения для концентратора событий, включая:
      • Подписка.
      • Созданное пространство имен Центров событий.
      • Созданный концентратор событий.
      • В параметрах авторизации выберите политику общего доступа, созданную для отправки оповещений.

    Снимок экрана: параметры политики экспорта.

  7. Выберите Проверить и создать и Создать, чтобы завершить процесс определения непрерывного экспорта в Центры событий.

    • Обратите внимание, что при активации политики непрерывного экспорта в арендаторе (уровень корневой группы управления) ваши оповещения будут автоматически передаваться в потоковом режиме для любой новой подписки, которая будет создана в рамках этого арендатора.

Шаг 5. Для потоковой передачи оповещений в QRadar SIEM — создание учетной записи хранения

  1. Перейдите на портал Azure, выберите Создать ресурс и щелкните Учетная запись хранения. Если этот параметр не отображается, введите "учетная запись хранения".

  2. Нажмите кнопку создания.

  3. Введите сведения для учетной записи хранения, выберите Проверить и создать и щелкните Создать.

    Снимок экрана: создание учетной записи хранения.

  4. После создания учетной записи хранения и перехода к ресурсу в меню выберите Ключи доступа.

  5. Выберите Показать ключи, чтобы просмотреть ключи, и скопируйте строку подключения ключа 1.

    Снимок экрана: копирование ключа учетной записи хранения.

Шаг 6. Для потоковой передачи оповещений в Splunk SIEM — создание приложения Microsoft Entra

  1. В поле поиска меню найдите идентификатор Microsoft Entra ID и перейдите к идентификатору Microsoft Entra.

  2. Перейдите к портал Azure, выберите "Создать ресурс" и выберите идентификатор Microsoft Entra. Если этот параметр не отображается, введите "active directory".

  3. В меню выберите Регистрация приложений.

  4. Выберите Создать регистрацию.

  5. Укажите уникальное имя приложения и щелкните Зарегистрировать.

    Снимок экрана: регистрация приложения.

  6. Скопируйте в буфер обмена и сохраните идентификатор приложения (клиента) и идентификатор каталога (арендатора).

  7. Создайте секрет клиента для приложения:

    1. В меню перейдите к сертификатам и секретам.
    2. Создайте пароль для приложения, чтобы подтвердить удостоверение при запрашивании маркера.
    3. Щелкните Создать секрет клиента.
    4. Введите краткое описание, выберите срок действия секрета и щелкните Добавить.

    Снимок экрана: создание секрета клиента.

  8. После создания секрета скопируйте идентификатор секрета и сохраните его для последующего использования вместе с идентификатором приложения и идентификатором каталога (арендатора).

Шаг 7. Для потоковой передачи оповещений в Splunk SIEM — разрешение идентификатора Microsoft Entra для чтения из концентратора событий

  1. Перейдите в созданное пространство имен Центров событий.

  2. В меню выберите Управление доступом.

  3. Выберите Добавить и щелкните Добавить назначение ролей.

  4. Выберите Добавить назначение ролей.

    Снимок экрана: добавление назначения роли.

  5. На вкладке "Роли" найдите Приемник данных Центров событий Azure.

  6. Выберите Далее.

  7. Щелкните Выбрать членов.

  8. Найдите созданное приложение Microsoft Entra и выберите его.

  9. Выберите Закрыть.

Чтобы продолжить настройку экспорта оповещений, установите встроенные соединители для используемой технологии SIEM.