将警报流式传输到监视解决方案

项目
02/28/2024

Microsoft Defender for Cloud 能够将安全警报流式传输到各种安全信息和事件管理 (SIEM)、安全业务流程自动响应 (SOAR) 和 IT 服务管理 (ITSM) 解决方案。在资源上检测到威胁时，将生成安全警报。 Defender for Cloud 按优先级列出“警报”页上的警报，以及快速调查问题所需的其他信息。提供了详细步骤来帮助你修正检测到的威胁。所有警报数据将保留 90 天。

可用的内置 Azure 工具可确保能够在以下解决方案中查看警报数据：

Splunk Enterprise and Splunk Cloud
Power BI
ServiceNow
IBM 的 QRadar
Palo Alto Networks
ArcSight

使用 Defender XDR API 将警报流式传输到 Defender XDR

Defender for Cloud 与 Microsoft Defender XDR 原生集成，允许使用 Defender XDR 的事件和警报 API 将警报和事件流式传输到非 Microsoft 解决方案中。 Defender for Cloud 客户可以访问所有 Microsoft 安全产品的一个 API，并可以使用此集成作为导出警报和事件的更简单方法。

了解如何将 SIEM 工具与 Defender XDR 集成。

将警报流式传输到 QRadar 和 Splunk

若要将安全警报导出到 Splunk 和 QRadar，需要使用事件中心和内置连接器。可以使用 PowerShell 脚本或 Azure 门户设置为订阅或租户导出安全警报的要求。满足要求后，需要使用特定于每个 SIEM 的过程在 SIEM 平台中安装解决方案。

先决条件

在设置 Azure 服务以便导出警报之前，请确保你具有：

Azure 订阅（创建试用版）
Azure 资源组（创建资源组）
警报范围（订阅、管理组或租户）的所有者角色或以下特定权限：
- 事件中心和事件中心策略的写入权限
- Microsoft Entra 应用程序的创建权限（如果不使用现有 Microsoft Entra 应用程序）
- 策略的分配权限（如果使用 Azure Policy“DeployIfNotExist”）

设置 Azure 服务

可以使用以下任一方法设置 Azure 环境以支持连续导出：

PowerShell 脚本（推荐）

下载并运行 PowerShell 脚本。
输入所需的参数。
执行该脚本。

该脚本会为你执行所有步骤。脚本完成后，使用输出在 SIEM 平台中安装解决方案。

Azure 门户

登录 Azure 门户。
搜索并选择 Event Hubs。
创建事件中心命名空间和事件中心。
使用 Send 权限为事件中心定义策略。

如果要将警报流式传输到 QRadar：

创建事件中心 Listen 策略。
复制并保存要在 QRadar 中使用的策略的连接字符串。
创建使用者组。
复制并保存要在 SIEM 平台中使用的名称。
启用安全警报到已定义事件中心的连续导出。
创建存储帐户。
复制并保存要在 QRadar 中使用的帐户的连接字符串。

有关更多详细说明，请参阅准备 Azure 资源以便导出到 Splunk 和 QRadar。

如果要将警报流式传输到 Splunk：

创建 Microsoft Entra 应用程序。
保存租户、应用 ID 和应用密码。
向 Microsoft Entra 应用程序授予从之前创建的事件中心进行读取的权限。

有关更多详细说明，请参阅准备 Azure 资源以便导出到 Splunk 和 QRadar。

使用内置连接器将事件中心连接到首选解决方案

每个 SIEM 平台都有一个工具，使它能够从 Azure 事件中心接收警报。安装适用于平台的工具以开始接收警报。

工具	在 Azure 中托管	说明
IBM QRadar	否	Azure DSM 和 Azure 事件中心协议可从 IBM 支持网站下载。
Splunk	否	适用于 Microsoft 云服务的 Splunk 附加产品是 Splunkbase 提供的开源项目。如果无法在 Splunk 实例中安装加载项（例如，如果使用代理或在 Splunk Cloud 上运行），则可以使用适用于 Splunk 的 Azure 函数（由事件中心内的新消息触发）将这些事件转发到 Splunk HTTP 事件收集器。

使用连续导出流式传输警报

若要将警报流式传输到 ArcSight、SumoLogic、Syslog 服务器、LogRhythm、Logz.io Cloud Observability Platform 和其他监视解决方案，请使用连续导出和 Azure 事件中心连接 Defender for Cloud。

注意

若要在租户级别流式传输警报，请使用此 Azure 策略并在根管理组设置范围。需要根管理组的权限，如 Defender for Cloud 权限中所述：将导出部署到事件中心以获取 Microsoft Defender for Cloud 警报和建议。

使用连续导出流式传输警报：

启用连续导出：
- 在订阅级别。
- 在管理组级别使用 Azure Policy。

使用内置连接器将事件中心连接到首选解决方案：

工具	在 Azure 中托管	说明
SumoLogic	否	从事件中心收集 Azure 审核应用的日志中提供了有关设置 SumoLogic，以使用事件中心数据的说明。
ArcSight	否	ArcSight Azure 事件中心智能连接器作为 ArcSight 智能连接器集合的一部分提供。
Syslog 服务器	否	若要将 Azure Monitor 数据直接流式传输到 syslog 服务器，可以使用基于 Azure 函数的解决方案。
LogRhythm	否	此处提供了有关设置 LogRhythm，以从事件中心收集日志的说明。
Logz.io	是	有关详细信息，请参阅开始使用用于在 Azure 上运行的 Java 应用的 Logz.io 进行监视和日志记录

（可选）将原始日志流式传输到事件中心并连接到首选解决方案。有关详细信息，请参阅提供的监视数据。

若要查看导出的数据类型的事件架构，请访问事件中心事件架构。

使用 Microsoft Graph 安全性 API 将警报流式传输到非 Microsoft 应用程序

Defender for Cloud 与 Microsoft Graph 安全性 API 内置集成，无需任何进一步的配置要求。

可以使用此 API 将警报从整个租户（以及许多 Microsoft 安全产品的数据）流式传输到非 Microsoft SIEM 和其他常用平台：

Splunk Enterprise and Splunk Cloud - 使用适用于 Splunk 的 Microsoft Graph 安全性 API 附加产品
Power BI - 连接到 Power BI Desktop 中的 Microsoft Graph 安全性 API。
ServiceNow - 从 ServiceNow Store 中安装和配置 Microsoft Graph 安全性 API 应用程序。
QRadar - 通过 Microsoft Graph API 将 IBM 的设备支持模块用于 Microsoft Defender for Cloud。
Palo Alto Networks、Anomali、Lookout、InSpark 等 - 使用 Microsoft Graph 安全性 API。

注意

导出警报的首选方法是通过持续导出 Microsoft Defender for Cloud 数据。

后续步骤

本页介绍了如何确保 Microsoft Defender for Cloud 警报数据在所选的 SIEM、SOAR 或 ITSM 工具中可用。如需查看相关材料，请参阅：

Microsoft Defender for Cloud 中的警报验证 - 验证是否正确配置了警报
连续导出 Defender for Cloud 数据