将警报流式传输到监视解决方案
Microsoft Defender for Cloud 能够将安全警报流式传输到各种安全信息和事件管理 (SIEM)、安全业务流程自动响应 (SOAR) 和 IT 服务管理 (ITSM) 解决方案。 在资源上检测到威胁时,将生成安全警报。 Defender for Cloud 按优先级列出“警报”页上的警报,以及快速调查问题所需的其他信息。 提供了详细步骤来帮助你修正检测到的威胁。 所有警报数据将保留 90 天。
可用的内置 Azure 工具可确保能够在以下解决方案中查看警报数据:
- Splunk Enterprise and Splunk Cloud
- Power BI
- ServiceNow
- IBM 的 QRadar
- Palo Alto Networks
- ArcSight
使用 Defender XDR API 将警报流式传输到 Defender XDR
Defender for Cloud 与 Microsoft Defender XDR 原生集成,允许使用 Defender XDR 的事件和警报 API 将警报和事件流式传输到非 Microsoft 解决方案中。 Defender for Cloud 客户可以访问所有 Microsoft 安全产品的一个 API,并可以使用此集成作为导出警报和事件的更简单方法。
了解如何将 SIEM 工具与 Defender XDR 集成。
将警报流式传输到 QRadar 和 Splunk
若要将安全警报导出到 Splunk 和 QRadar,需要使用事件中心和内置连接器。 可以使用 PowerShell 脚本或 Azure 门户设置为订阅或租户导出安全警报的要求。 满足要求后,需要使用特定于每个 SIEM 的过程在 SIEM 平台中安装解决方案。
先决条件
在设置 Azure 服务以便导出警报之前,请确保你具有:
- Azure 订阅(创建试用版)
- Azure 资源组(创建资源组)
- 警报范围(订阅、管理组或租户)的所有者角色或以下特定权限:
- 事件中心和事件中心策略的写入权限
- Microsoft Entra 应用程序的创建权限(如果不使用现有 Microsoft Entra 应用程序)
- 策略的分配权限(如果使用 Azure Policy“DeployIfNotExist”)
设置 Azure 服务
可以使用以下任一方法设置 Azure 环境以支持连续导出:
PowerShell 脚本(推荐)
下载并运行 PowerShell 脚本。
输入所需的参数。
执行该脚本。
该脚本会为你执行所有步骤。 脚本完成后,使用输出在 SIEM 平台中安装解决方案。
Azure 门户
登录 Azure 门户。
搜索并选择
Event Hubs
。使用
Send
权限为事件中心定义策略。
如果要将警报流式传输到 QRadar:
创建事件中心
Listen
策略。复制并保存要在 QRadar 中使用的策略的连接字符串。
创建使用者组。
复制并保存要在 SIEM 平台中使用的名称。
启用安全警报到已定义事件中心的连续导出。
创建存储帐户。
复制并保存要在 QRadar 中使用的帐户的连接字符串。
有关更多详细说明,请参阅 准备 Azure 资源以便导出到 Splunk 和 QRadar。
如果要将警报流式传输到 Splunk:
创建 Microsoft Entra 应用程序。
保存租户、应用 ID 和应用密码。
向 Microsoft Entra 应用程序授予从之前创建的事件中心进行读取的权限。
有关更多详细说明,请参阅 准备 Azure 资源以便导出到 Splunk 和 QRadar。
使用内置连接器将事件中心连接到首选解决方案
每个 SIEM 平台都有一个工具,使它能够从 Azure 事件中心接收警报。 安装适用于平台的工具以开始接收警报。
工具 | 在 Azure 中托管 | 说明 |
---|---|---|
IBM QRadar | 否 | Azure DSM 和 Azure 事件中心协议可从 IBM 支持网站下载。 |
Splunk | 否 | 适用于 Microsoft 云服务的 Splunk 附加产品是 Splunkbase 提供的开源项目。 如果无法在 Splunk 实例中安装加载项(例如,如果使用代理或在 Splunk Cloud 上运行),则可以使用适用于 Splunk 的 Azure 函数(由事件中心内的新消息触发)将这些事件转发到 Splunk HTTP 事件收集器。 |
使用连续导出流式传输警报
若要将警报流式传输到 ArcSight、SumoLogic、Syslog 服务器、LogRhythm、Logz.io Cloud Observability Platform 和其他监视解决方案,请使用连续导出和 Azure 事件中心连接 Defender for Cloud。
注意
若要在租户级别流式传输警报,请使用此 Azure 策略并在根管理组设置范围。 需要根管理组的权限,如 Defender for Cloud 权限中所述:将导出部署到事件中心以获取 Microsoft Defender for Cloud 警报和建议。
使用连续导出流式传输警报:
启用连续导出:
使用内置连接器将事件中心连接到首选解决方案:
工具 在 Azure 中托管 说明 SumoLogic 否 从事件中心收集 Azure 审核应用的日志中提供了有关设置 SumoLogic,以使用事件中心数据的说明。 ArcSight 否 ArcSight Azure 事件中心智能连接器作为 ArcSight 智能连接器集合的一部分提供。 Syslog 服务器 否 若要将 Azure Monitor 数据直接流式传输到 syslog 服务器,可以使用基于 Azure 函数的解决方案。 LogRhythm 否 此处提供了有关设置 LogRhythm,以从事件中心收集日志的说明。 Logz.io 是 有关详细信息,请参阅开始使用用于在 Azure 上运行的 Java 应用的 Logz.io 进行监视和日志记录 (可选)将原始日志流式传输到事件中心并连接到首选解决方案。 有关详细信息,请参阅提供的监视数据。
若要查看导出的数据类型的事件架构,请访问事件中心事件架构。
使用 Microsoft Graph 安全性 API 将警报流式传输到非 Microsoft 应用程序
Defender for Cloud 与 Microsoft Graph 安全性 API 内置集成,无需任何进一步的配置要求。
可以使用此 API 将警报从整个租户(以及许多 Microsoft 安全产品的数据)流式传输到非 Microsoft SIEM 和其他常用平台:
- Splunk Enterprise and Splunk Cloud - 使用适用于 Splunk 的 Microsoft Graph 安全性 API 附加产品
- Power BI - 连接到 Power BI Desktop 中的 Microsoft Graph 安全性 API。
- ServiceNow - 从 ServiceNow Store 中安装和配置 Microsoft Graph 安全性 API 应用程序。
- QRadar - 通过 Microsoft Graph API 将 IBM 的设备支持模块用于 Microsoft Defender for Cloud。
- Palo Alto Networks、Anomali、Lookout、InSpark 等 - 使用 Microsoft Graph 安全性 API。
注意
导出警报的首选方法是通过持续导出 Microsoft Defender for Cloud 数据。
后续步骤
本页介绍了如何确保 Microsoft Defender for Cloud 警报数据在所选的 SIEM、SOAR 或 ITSM 工具中可用。 如需查看相关材料,请参阅: