Strömma aviseringar till övervakningslösningar
Microsoft Defender för molnet har möjlighet att strömma säkerhetsaviseringar till olika SIEM-lösningar (Security Information and Event Management), Security Orchestration Automated Response (SOAR) och ITSM (IT Service Management). Säkerhetsaviseringar genereras när hot identifieras på dina resurser. Defender for Cloud prioriterar och listar aviseringarna på sidan Aviseringar, tillsammans med ytterligare information som behövs för att snabbt undersöka problemet. Detaljerade steg tillhandahålls för att hjälpa dig att åtgärda det identifierade hotet. Alla aviseringsdata behålls i 90 dagar.
Det finns inbyggda Azure-verktyg som är tillgängliga som säkerställer att du kan visa dina aviseringsdata i följande lösningar:
- Microsoft Sentinel
- Splunk Enterprise och Splunk Cloud
- Power BI
- ServiceNow
- IBM:s QRadar
- Palo Alto Networks
- ArcSight
Strömma aviseringar till Defender XDR med Defender XDR API
Defender for Cloud integreras internt med Microsoft Defender XDR så att du kan använda Defender XDR:s API för incidenter och aviseringar för att strömma aviseringar och incidenter till lösningar som inte kommer från Microsoft. Defender for Cloud-kunder kan komma åt ett API för alla Microsoft-säkerhetsprodukter och kan använda den här integreringen som ett enklare sätt att exportera aviseringar och incidenter.
Lär dig hur du integrerar SIEM-verktyg med Defender XDR.
Strömma aviseringar till Microsoft Sentinel
Defender for Cloud integreras internt med Microsoft Sentinel Azures molnbaserade SIEM- och SOAR-lösning.
Microsoft Sentinels anslutningsappar för Defender för molnet
Microsoft Sentinel innehåller inbyggda anslutningsappar för Microsoft Defender för molnet på prenumerations- och klientorganisationsnivå.
Du kan:
- Strömma aviseringar till Microsoft Sentinel på prenumerationsnivå.
- Anslut alla prenumerationer i din klientorganisation till Microsoft Sentinel.
När du ansluter Defender för molnet till Microsoft Sentinel synkroniseras statusen för Defender for Cloud-aviseringar som matas in i Microsoft Sentinel mellan de två tjänsterna. När en avisering till exempel stängs i Defender för molnet visas även aviseringen som stängd i Microsoft Sentinel. När du ändrar status för en avisering i Defender för molnet uppdateras även statusen för aviseringen i Microsoft Sentinel. Statusen för alla Microsoft Sentinel-incidenter som innehåller den synkroniserade Microsoft Sentinel-aviseringen uppdateras dock inte.
Du kan aktivera funktionen för dubbelriktad aviseringssynkronisering för att automatiskt synkronisera statusen för de ursprungliga Defender for Cloud-aviseringarna med Microsoft Sentinel-incidenter som innehåller kopior av Defender for Cloud-aviseringarna. När till exempel en Microsoft Sentinel-incident som innehåller en Defender for Cloud-avisering stängs, stänger Defender för molnet automatiskt motsvarande ursprungliga avisering.
Lär dig hur du ansluter aviseringar från Microsoft Defender för molnet.
Konfigurera inmatning av alla granskningsloggar i Microsoft Sentinel
Ett annat alternativ för att undersöka Defender for Cloud-aviseringar i Microsoft Sentinel är att strömma granskningsloggarna till Microsoft Sentinel:
- Ansluta Windows-säkerhetshändelser
- Samla in data från Linux-baserade källor med syslog
- Ansluta data från Azure-aktivitetsloggen
Dricks
Microsoft Sentinel faktureras baserat på mängden data som den matar in för analys i Microsoft Sentinel och lagrar i Azure Monitor Log Analytics-arbetsytan. Microsoft Sentinel erbjuder en flexibel och förutsägbar prismodell. Läs mer på prissidan för Microsoft Sentinel.
Strömma aviseringar till QRadar och Splunk
Om du vill exportera säkerhetsaviseringar till Splunk och QRadar måste du använda Event Hubs och en inbyggd anslutningsapp. Du kan antingen använda ett PowerShell-skript eller Azure-portalen för att konfigurera kraven för att exportera säkerhetsaviseringar för din prenumeration eller klientorganisation. När kraven är uppfyllda måste du använda proceduren som är specifik för varje SIEM för att installera lösningen på SIEM-plattformen.
Förutsättningar
Innan du konfigurerar Azure-tjänsterna för export av aviseringar kontrollerar du att du har:
- Azure-prenumeration (Skapa ett kostnadsfritt konto)
- Azure-resursgrupp (Skapa en resursgrupp)
- Ägarroll i aviseringsomfånget (prenumeration, hanteringsgrupp eller klientorganisation) eller dessa specifika behörigheter:
- Skrivbehörigheter för händelsehubbar och Event Hubs-principen
- Skapa behörigheter för Microsoft Entra-program om du inte använder ett befintligt Microsoft Entra-program
- Tilldela behörigheter för principer om du använder Azure Policy "DeployIfNotExist"
Konfigurera Azure-tjänsterna
Du kan konfigurera din Azure-miljö så att den stöder kontinuerlig export med antingen:
PowerShell-skript (rekommenderas)
Ladda ned och kör PowerShell-skriptet.
Ange de obligatoriska parametrarna.
Kör skriptet.
Skriptet utför alla steg åt dig. När skriptet är klart använder du utdata för att installera lösningen på SIEM-plattformen.
Azure Portal
Logga in på Azure-portalen.
Sök efter och välj
Event Hubs
.Definiera en princip för händelsehubben med
Send
behörigheter.
Om du strömmar aviseringar till QRadar:
Skapa en händelsehubbprincip
Listen
.Kopiera och spara niska veze av principen som ska användas i QRadar.
Skapa en konsumentgrupp.
Kopiera och spara namnet som ska användas i SIEM-plattformen.
Aktivera kontinuerlig export av säkerhetsaviseringar till den definierade händelsehubben.
Skapa ett lagringskonto.
Kopiera och spara niska veze till kontot som ska användas i QRadar.
Mer detaljerade instruktioner finns i Förbereda Azure-resurser för export till Splunk och QRadar.
Om du strömmar aviseringar till Splunk:
Skapa ett Microsoft Entra-program.
Spara lösenordet för klientorganisation, app-ID och app.
Ge behörighet till Microsoft Entra-programmet att läsa från händelsehubben som du skapade tidigare.
Mer detaljerade instruktioner finns i Förbereda Azure-resurser för export till Splunk och QRadar.
Ansluta händelsehubben till önskad lösning med hjälp av de inbyggda anslutningsprogrammen
Varje SIEM-plattform har ett verktyg som gör att den kan ta emot aviseringar från Azure Event Hubs. Installera verktyget för din plattform för att börja ta emot aviseringar.
Verktyg | Värdhanterad i Azure | beskrivning |
---|---|---|
IBM QRadar | Nej | Microsoft Azure DSM och Microsoft Azure Event Hubs Protocol är tillgängliga för nedladdning från IBM-supportwebbplatsen. |
Splunk | Nej | Splunk-tillägget för Microsoft Cloud Services är ett projekt med öppen källkod som är tillgängligt i Splunkbase. Om du inte kan installera ett tillägg i din Splunk-instans, till exempel om du använder en proxy eller körs i Splunk Cloud, kan du vidarebefordra dessa händelser till Splunk HTTP Event Collector med hjälp av Azure Function For Splunk, som utlöses av nya meddelanden i händelsehubben. |
Stream-aviseringar med kontinuerlig export
Om du vill strömma aviseringar till ArcSight, SumoLogic, Syslog-servrar, LogRhythm, Logz.io Cloud Observability Platform och andra övervakningslösningar ansluter du Defender för molnet med kontinuerlig export och Azure Event Hubs.
Kommentar
Om du vill strömma aviseringar på klientorganisationsnivå använder du den här Azure-principen och anger omfånget i rothanteringsgruppen. Du behöver behörigheter för rothanteringsgruppen enligt beskrivningen i Behörigheter för Defender för molnet: Distribuera export till en händelsehubb för Aviseringar och rekommendationer för Microsoft Defender för molnet.
Så här strömmar du aviseringar med kontinuerlig export:
Aktivera kontinuerlig export:
Anslut händelsehubben till önskad lösning med hjälp av de inbyggda anslutningsprogrammen:
Verktyg Värdhanterad i Azure beskrivning SumoLogic Nej Instruktioner för hur du konfigurerar SumoLogic för att använda data från en händelsehubb finns i Samla in loggar för Azure-granskningsappen från Event Hubs. ArcSight Nej ArcSight Azure Event Hubs smarta anslutningsapp är tillgänglig som en del av arcsight-samlingen för smarta anslutningsappar. Syslog-server Nej Om du vill strömma Azure Monitor-data direkt till en syslog-server kan du använda en lösning baserat på en Azure-funktion. LogRhythm Nej Instruktioner för att konfigurera LogRhythm för att samla in loggar från en händelsehubb finns här. Logz.io Ja Mer information finns i Komma igång med övervakning och loggning med hjälp av Logz.io för Java-appar som körs i Azure (Valfritt) Strömma rådataloggarna till händelsehubben och anslut till önskad lösning. Läs mer i Övervakning av tillgängliga data.
Om du vill visa händelsescheman för de exporterade datatyperna går du till händelsescheman för Event Hubs.
Använda Microsoft Graph-säkerhets-API:et för att strömma aviseringar till program som inte kommer från Microsoft
Defender for Clouds inbyggda integrering med Microsoft Graph Security API utan ytterligare konfigurationskrav.
Du kan använda det här API:et för att strömma aviseringar från hela klientorganisationen (och data från många Microsoft Security-produkter) till icke-Microsoft-SIEM:er och andra populära plattformar:
- Splunk Enterprise och Splunk Cloud - Använd Microsoft Graph Security API-tillägget för Splunk
- Power BI - Connect till Microsoft Graph Security API i Power BI Desktop.
- ServiceNow - Installera och konfigurera Microsoft Graph Security API-programmet från ServiceNow Store.
- QRadar - Använd IBM:s enhetssupportmodul för Microsoft Defender för molnet via Microsoft Graph API.
- Palo Alto Networks, Anomali, Lookout, InSpark med mera – Använd Microsoft Graph Security API.
Kommentar
Det bästa sättet att exportera aviseringar är genom att kontinuerligt exportera Microsoft Defender för molndata.
Nästa steg
På den här sidan beskrivs hur du ser till att dina microsoft Defender för moln-aviseringsdata är tillgängliga i ditt SIEM-, SOAR- eller ITSM-verktyg. För relaterat material, se:
- Vad är Microsoft Sentinel?
- Aviseringsverifiering i Microsoft Defender för molnet – Kontrollera att dina aviseringar är korrekt konfigurerade
- Exportera kontinuerligt Defender for Cloud-data