准备 Azure 资源以便导出到 Splunk 和 QRadar

为了将 Microsoft Defender for Cloud 安全警报流式传输到 IBM QRadar 和 Splunk,你必须在 Azure 中设置资源,例如事件中心和 Microsoft Entra ID。 下面说明了如何在 Azure 门户中配置这些资源,但你也可以使用 PowerShell 脚本对其进行配置。 在配置 Azure 资源以将警报导出到 QRadar 和 Splunk 之前,请务必查看将警报流式传输到 QRadar 和 Splunk

若要在 Azure 门户中为 QRadar 和 Splunk 配置 Azure 资源,请执行以下操作:

步骤 1:创建具有发送权限的事件中心命名空间和事件中心

  1. 事件中心服务中,创建事件中心命名空间:

    1. 选择“创建”。
    2. 输入命名空间的详细信息,选择“查看 + 创建”,然后选择“创建”。

    Screenshot of creating an Event Hubs namespace in Microsoft Event Hubs.

  2. 创建事件中心:

    1. 在创建的命名空间中,选择“+ 事件中心”。
    2. 输入事件中心的详细信息,选择“查看 + 创建”,然后选择“创建”。
  3. 创建共享访问策略。

    1. 在事件中心菜单中,选择创建的事件中心命名空间。
    2. 在事件中心命名空间菜单中,选择“事件中心”。
    3. 选择刚刚创建的事件中心。
    4. 在事件中心菜单中,选择“共享访问策略”。
    5. 选择“添加”,输入唯一策略名称,然后选择“发送”。
    6. 选择“创建”创建策略。 Screenshot of creating a shared policy in Microsoft Event Hubs.

步骤 2:流式传输到 QRadar SIEM - 创建侦听策略

  1. 选择“添加”,输入唯一策略名称,然后选择“侦听”。

  2. 选择“创建”创建策略。

  3. 创建侦听策略后,复制连接字符串主密钥并保存以供稍后使用。

    Screenshot of creating a listen policy in Microsoft Event Hubs.

步骤 3:创建使用者组,然后复制并保存要在 SIEM 平台中使用的名称

  1. 在事件中心菜单的“实体”部分中,选择“事件中心”,然后选择创建的事件中心。

    Screenshot of opening the event hub Microsoft Event Hubs.

  2. 选择“使用者组”。

步骤 4:为警报范围启用连续导出

  1. 在 Azure 搜索框中,搜索“策略”并转到策略。

  2. 在“策略”菜单中,选择“定义”。

  3. 搜索“部署导出”并选择“部署 Microsoft Defender for Cloud 数据的‘导出到事件中心’”这一内置策略

  4. 选择“分配”。

  5. 定义基本策略选项:

    1. 在“范围”中,选择 ... 以选择要应用策略的范围。
    2. 在范围中找到根管理组(针对租户范围)、管理组、订阅或资源组,然后选择“选择”。
      • 若要选择租户根管理组级别,需要对租户级别具有权限。
    3. (可选)在“排除项”中,可以定义要从导出中排除的特定订阅。
    4. 输入分配名称。
    5. 确保启用策略实施。

    Screenshot of assignment for the export policy.

  6. 在策略参数中:

    1. 输入保存自动化资源的资源组。
    2. 选择资源组位置。
    3. 选择“事件中心详细信息”旁的“...”,并输入事件中心的详细信息,包括:
      • 订阅。
      • 创建的事件中心命名空间。
      • 你创建的事件中心。
      • 在“authorizationrules”中,选择为发送警报而创建的共享访问策略。

    Screenshot of parameters for the export policy.

  7. 依次选择“查看并创建”、“创建”,完成定义连续导出到事件中心的过程。

    • 请注意,在租户(根管理组级别)上激活连续导出策略时,它会自动在此租户下创建的任何新订阅上流式传输警报。

步骤 5:将警报流式传输到 QRadar SIEM - 创建存储帐户

  1. 转到 Azure 门户,选择“创建资源”,然后选择“存储帐户”。 如果未显示该选项,请搜索“存储帐户”。

  2. 选择“创建”。

  3. 输入存储帐户的详细信息,选择“查看并创建”,然后选择“创建”。

    Screenshot of creating storage account.

  4. 创建存储帐户并转到资源后,在菜单中选择“访问密钥”。

  5. 选择“显示密钥”以查看密钥,并复制密钥 1 的连接字符串。

    Screenshot of copying storage account key.

步骤 6:对于将警报流式传输到 Splunk SIEM - 创建 Microsoft Entra 应用程序

  1. 在菜单搜索框中,搜索“Microsoft Entra ID”,然后转到 Microsoft Entra ID。

  2. 转到 Azure 门户,选择“创建资源”,然后选择“Microsoft Entra ID”。 如果未显示该选项,请搜索“active directory”。

  3. 在菜单中,选择“应用注册”。

  4. 选择“新注册”。

  5. 输入应用程序的唯一名称并选择“注册”。

    Screenshot of registering application.

  6. 复制到剪贴板并保存“应用程序(客户端) ID”和“目录(租户) ID”。

  7. 为应用程序创建客户端密码:

    1. 在菜单中,转到“证书和机密”
    2. 为应用程序创建密码,以便在请求令牌时证明其身份:
    3. 选择“新建客户端机密”。
    4. 输入简短说明,选择密码的过期时间,然后选择“添加”。

    Screenshot of creating client secret.

  8. 创建密码后,复制密码 ID 并将其与应用程序 ID 和目录(租户)ID 一起保存以备后用。

步骤 7:对于将警报流式处理到 Splunk SIEM - 允许 Microsoft Entra ID 从事件中心读取

  1. 转到创建的事件中心命名空间。

  2. 在菜单中,转到“访问控制”。

  3. 选择“添加”,然后选择“添加角色分配”。

  4. 选择“添加角色分配”。

    Screenshot of adding a role assignment.

  5. 在“角色”选项卡中,搜索“Azure 事件中心数据接收器”。

  6. 选择“下一步”。

  7. 选择“选择成员”。

  8. 搜索之前创建的 Microsoft Entra 应用程序,然后选择它。

  9. 选择“关闭” 。

若要继续设置警报导出,请为正在使用的 SIEM 安装内置连接器