将警报流式传输到 SIEM、SOAR 或 IT 服务管理解决方案

Azure 安全中心可以将安全警报流式传输到最常用的安全信息和事件管理 (SIEM)、安全业务流程自动响应 (SOAR) 和 IT 服务管理 (ITSM) 解决方案中。

Azure 本机工具可确保你可以查看当前使用的所有最常用解决方案中的警报数据,其中包括:

  • Splunk Enterprise and Splunk Cloud
  • IBM 的 QRadar
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

使用 Microsoft Graph 安全性 API 流式传输警报

安全中心具有与 Microsoft Graph 安全性 API 的现成集成。 无需进行配置,也不需要额外的费用。

可以使用此 API 将警报从整个租户(以及许多其他 Microsoft 安全产品的数据)流式传输到第三方 SIEM 和其他常用平台:

详细了解 Microsoft Graph 安全性 API

使用 Azure Monitor 流式传输警报

若要将警报流式传输到 ArcSight、Splunk、SumoLogic、Syslog 服务器、LogRhythm、Logz.io Cloud Observability Platform 和其他监视解决方案 。 请通过 Azure 事件中心连接安全中心与 Azure monitor:

  1. 启用连续导出,以在订阅级别将安全中心警报流式传输到专用 Azure 事件中心。

    提示

    若要在管理组级别使用 Azure Policy 执行此操作,请参阅大规模创建连续导出自动化配置

  2. 使用 Azure Monitor 的内置连接器将 Azure 事件中心连接到首选解决方案

  3. (可选)将原始日志流式传输到 Azure 事件中心并连接到首选解决方案。 有关详细信息,请参阅提供的监视数据

提示

若要查看导出的数据类型的事件架构,请访问事件中心事件架构

后续步骤

本页介绍了如何确保你的 Azure 安全中心警报数据在所选的 SIEM、SOAR 或 ITSM 工具中可用。 如需查看相关材料,请参阅: