Streamování upozornění na řešení monitorování
Microsoft Defender pro cloud má možnost streamovat výstrahy zabezpečení do různých řešení zabezpečení informací a událostí (SIEM), SOAR (Security Orchestraation Automated Response) a SPRÁVY IT služeb (ITSM). Výstrahy zabezpečení se generují, když se ve vašich prostředcích zjistí hrozby. Defender for Cloud upřednostňuje a uvádí výstrahy na stránce Výstrahy a další informace potřebné k rychlému prozkoumání problému. Poskytujeme podrobné kroky, které vám pomůžou napravit zjištěné hrozby. Všechna data výstrah se uchovávají po dobu 90 dnů.
K dispozici jsou integrované nástroje Azure, které zajišťují zobrazení dat výstrah v následujících řešeních:
- Microsoft Sentinel
- Splunk Enterprise a Splunk Cloud
- Power BI
- ServiceNow
- QRadar od IBM
- Palo Alto Networks
- ArcSight
Streamování upozornění do XDR defenderu pomocí rozhraní XDR API defenderu
Program Defender for Cloud se nativně integruje s XDR v programu Microsoft Defender a umožňuje používat incidenty a výstrahy rozhraní API defenderu pro streamování výstrah a incidentů do řešení jiných společností než Microsoft. Zákazníci Defenderu pro cloud mají přístup k jednomu rozhraní API pro všechny produkty zabezpečení Microsoftu a můžou tuto integraci používat jako jednodušší způsob exportu výstrah a incidentů.
Zjistěte, jak integrovat nástroje SIEM s XDR v programu Defender.
Streamování upozornění do Microsoft Sentinelu
Defender for Cloud se nativně integruje s cloudovým řešením SIEM a SOAR v Microsoft Sentinelu .
Konektory Microsoft Sentinelu pro Defender for Cloud
Microsoft Sentinel zahrnuje integrované konektory pro Microsoft Defender for Cloud na úrovni předplatného a tenanta.
Můžete provádět následující akce:
- Streamujte upozornění do Služby Microsoft Sentinel na úrovni předplatného.
- Připojte všechna předplatná ve vašem tenantovi k Microsoft Sentinelu.
Když připojíte Defender for Cloud ke službě Microsoft Sentinel, stav výstrah Defenderu pro cloud, které se ingestují do Služby Microsoft Sentinel, se synchronizuje mezi těmito dvěma službami. Například když se výstraha zavře v programu Defender for Cloud, zobrazí se tato výstraha také jako uzavřená v Microsoft Sentinelu. Když změníte stav výstrahy v defenderu pro cloud, aktualizuje se také stav výstrahy v Microsoft Sentinelu. Stavy všech incidentů Microsoft Sentinelu, které obsahují synchronizovanou výstrahu Microsoft Sentinelu, se ale neaktualizují.
Funkci synchronizace obousměrných upozornění můžete povolit tak, aby automaticky synchronizovala stav původních upozornění defenderu pro cloud s incidenty Služby Microsoft Sentinel, které obsahují kopie výstrah Defenderu pro cloud. Když se například zavře incident Microsoft Sentinelu, který obsahuje výstrahu Defenderu pro cloud, program Defender for Cloud automaticky zavře odpovídající původní výstrahu.
Zjistěte, jak připojit upozornění z Microsoft Defenderu pro cloud.
Konfigurace příjmu všech protokolů auditu do Microsoft Sentinelu
Další alternativou pro zkoumání upozornění Defenderu for Cloud v Microsoft Sentinelu je streamování protokolů auditu do Microsoft Sentinelu:
- Připojení událostí zabezpečení Systému Windows
- Shromažďování dat ze zdrojů založených na Linuxu pomocí Syslogu
- Připojení dat z protokolu aktivit Azure
Tip
Služba Microsoft Sentinel se účtuje na základě objemu dat, která ingestuje za analýzu v Microsoft Sentinelu a ukládá se do pracovního prostoru služby Azure Monitor Log Analytics. Microsoft Sentinel nabízí flexibilní a předvídatelný cenový model. Další informace najdete na stránce s cenami služby Microsoft Sentinel.
Streamování upozornění na QRadar a Splunk
Pokud chcete exportovat výstrahy zabezpečení do splunku a QRadaru, musíte použít Event Hubs a integrovaný konektor. Pomocí skriptu PowerShellu nebo webu Azure Portal můžete nastavit požadavky na export výstrah zabezpečení pro vaše předplatné nebo tenanta. Jakmile jsou splněné požadavky, musíte použít postup specifický pro každý SIEM k instalaci řešení na platformě SIEM.
Požadavky
Než nastavíte služby Azure pro export výstrah, ujistěte se, že máte:
- Předplatné Azure (vytvoření bezplatného účtu)
- Skupina prostředků Azure (vytvoření skupiny prostředků)
- Role vlastníka oboru výstrah (předplatné, skupina pro správu nebo tenant) nebo tato konkrétní oprávnění:
- Oprávnění k zápisu pro centra událostí a zásady služby Event Hubs
- Vytvoření oprávnění pro aplikace Microsoft Entra, pokud nepoužíváte existující aplikaci Microsoft Entra
- Pokud používáte Azure Policy DeployIfNotExist, přiřaďte oprávnění k zásadám.
Nastavení služeb Azure
Prostředí Azure můžete nastavit tak, aby podporovalo průběžné exporty:
Skript PowerShellu (doporučeno)
Stáhněte a spusťte skript PowerShellu.
Zadejte požadované parametry.
Spusťte skript.
Skript provede všechny kroky za vás. Po dokončení skriptu použijte výstup k instalaci řešení na platformě SIEM.
portál Azure
Přihlaste se k portálu Azure.
Vyhledejte a vyberte
Event Hubs.Definujte zásadu centra událostí s oprávněními
Send.
Pokud streamujete upozornění na QRadar:
Vytvořte zásadu centra
Listenudálostí.Zkopírujte a uložte připojovací řetězec zásady pro použití v QRadar.
Vytvořte skupinu příjemců.
Zkopírujte a uložte název, který chcete použít na platformě SIEM.
Povolte průběžný export výstrah zabezpečení do definovaného centra událostí.
Vytvořte si účet úložiště.
Zkopírujte a uložte připojovací řetězec do účtu, který chcete použít v QRadar.
Podrobnější pokyny najdete v tématu Příprava prostředků Azure pro export do splunku a QRadar.
Pokud streamujete upozornění na Splunk:
Vytvořte aplikaci Microsoft Entra.
Uložte tenanta, ID aplikace a heslo aplikace.
Udělte aplikaci Microsoft Entra oprávnění ke čtení z centra událostí, které jste vytvořili dříve.
Podrobnější pokyny najdete v tématu Příprava prostředků Azure pro export do splunku a QRadar.
Připojení centra událostí k preferovanému řešení pomocí integrovaných konektorů
Každá platforma SIEM má nástroj, který umožňuje přijímat výstrahy ze služby Azure Event Hubs. Nainstalujte nástroj pro vaši platformu a začněte přijímat výstrahy.
| Nástroj | Hostované v Azure | Popis |
|---|---|---|
| IBM QRadar | No | Microsoft Azure DSM a protokol Microsoft Azure Event Hubs jsou k dispozici ke stažení z webu podpory IBM. |
| Splunk | No | Doplněk Splunk pro Microsoft Cloud Services je opensourcový projekt dostupný v splunkbase. Pokud ve své instanci Splunk nemůžete nainstalovat doplněk, například pokud používáte proxy server nebo používáte Splunk Cloud, můžete tyto události předat kolektoru událostí Splunk pomocí funkce Azure Functions for Splunk, která se aktivuje novými zprávami v centru událostí. |
Streamování upozornění s průběžným exportem
Pokud chcete streamovat upozornění na ArcSight, SumoLogic, servery Syslog, LogRhythm, Logz.io Cloud Observability Platform a další řešení monitorování, připojte Defender for Cloud pomocí průběžného exportu a Azure Event Hubs.
Poznámka:
Pokud chcete streamovat upozornění na úrovni tenanta, použijte tuto zásadu Azure a nastavte obor v kořenové skupině pro správu. Budete potřebovat oprávnění pro kořenovou skupinu pro správu, jak je vysvětleno v defenderu pro cloudová oprávnění: Nasazení exportu do centra událostí pro upozornění a doporučení v programu Microsoft Defender for Cloud.
Streamování upozornění s průběžným exportem:
Povolení průběžného exportu:
Připojte centrum událostí k preferovanému řešení pomocí integrovaných konektorů:
Nástroj Hostované v Azure Popis SumoLogic No Pokyny k nastavení sumoLogic pro využívání dat z centra událostí jsou k dispozici v části Shromažďování protokolů pro aplikaci Audit Azure ze služby Event Hubs. ArcSight No Inteligentní konektor ArcSight Azure Event Hubs je k dispozici jako součást kolekce inteligentních konektorů ArcSight. Server syslogu No Pokud chcete streamovat data služby Azure Monitor přímo na server syslogu, můžete použít řešení založené na funkci Azure. LogRhythm No Tady jsou k dispozici pokyny k nastavení LogRhythmu pro shromažďování protokolů z centra událostí. Logz.io Ano Další informace najdete v tématu Začínáme s monitorováním a protokolováním pomocí Logz.io pro aplikace v Javě spuštěné v Azure. (Volitelné) Streamujte nezpracované protokoly do centra událostí a připojte se k preferovanému řešení. Další informace o dostupných datech monitorování
Pokud chcete zobrazit schémata událostí exportovaných datových typů, navštivte schémata událostí služby Event Hubs.
Použití Rozhraní API pro zabezpečení Microsoft Graphu ke streamování upozornění do aplikací jiných společností než Microsoft
Integrovaná integrace Defenderu pro cloud s Microsoft Graphem Rozhraní API pro zabezpečení bez nutnosti dalších požadavků na konfiguraci.
Pomocí tohoto rozhraní API můžete streamovat výstrahy z celého tenanta (a dat z mnoha produktů Microsoft Security) do jiných platforem než Microsoft SIEM a dalších oblíbených platforem:
- Splunk Enterprise a Splunk Cloud - – Použití doplňku Microsoft Graph Rozhraní API pro zabezpečení pro Splunk
- Power BI - Connect k Microsoft Graphu Rozhraní API pro zabezpečení v Power BI Desktopu
- ServiceNow - Install and configure the Microsoft Graph Rozhraní API pro zabezpečení application from the ServiceNow Store.
- QRadar - používá modul podpory zařízení IBM pro Microsoft Defender for Cloud prostřednictvím rozhraní Microsoft Graph API.
- Palo Alto Networks, Anomálie, Lookout, InSpark a další – použijte Rozhraní API pro zabezpečení Microsoft Graphu.
Poznámka:
Upřednostňovaným způsobem exportu upozornění je průběžný export dat v programu Microsoft Defender for Cloud.
Další kroky
Tato stránka vysvětluje, jak zajistit, aby data výstrah v programu Microsoft Defender for Cloud byla dostupná ve zvoleném nástroji SIEM, SOAR nebo ITSM. Související materiály najdete tady:
- Co je Microsoft Sentinel?
- Ověření upozornění v programu Microsoft Defender for Cloud – Ověřte, že jsou vaše upozornění správně nakonfigurovaná.
- Průběžný export defenderu pro cloudová data