Příprava prostředků Azure na export do Splunku a QRadaru

Pokud chcete streamovat výstrahy zabezpečení Microsoft Defenderu pro cloud do IBM QRadar a Splunk, musíte nastavit prostředky v Azure, jako je Event Hubs a Microsoft Entra ID. Tady jsou pokyny pro konfiguraci těchto prostředků na webu Azure Portal, ale můžete je také nakonfigurovat pomocí skriptu PowerShellu. Než nakonfigurujete prostředky Azure pro export výstrah do QRadar a Splunk, zkontrolujte upozornění služby Stream pro QRadar a Splunk .

Konfigurace prostředků Azure pro QRadar a Splunk na webu Azure Portal:

Krok 1: Vytvoření oboru názvů služby Event Hubs a centra událostí s oprávněními pro odesílání

1. Ve službě Event Hubs vytvořte obor názvů služby Event Hubs:

   1. Vyberte Vytvořit.
   2. Zadejte podrobnosti oboru názvů, vyberte Zkontrolovat a vytvořit a vyberte Vytvořit.

   

2. Vytvoření centra událostí:

   1. V oboru názvů, který vytvoříte, vyberte + Centrum událostí.
   2. Zadejte podrobnosti o centru událostí a vyberte Zkontrolovat a vytvořit a vyberte Vytvořit.

3. Vytvořte zásadu sdíleného přístupu.

   1. V nabídce Centra událostí vyberte obor názvů Event Hubs, který jste vytvořili.
   2. V nabídce oboru názvů centra událostí vyberte Event Hubs.
   3. Vyberte centrum událostí, které jste právě vytvořili.
   4. V nabídce centra událostí vyberte Zásady sdíleného přístupu.
   5. Vyberte Přidat, zadejte jedinečný název zásady a vyberte Odeslat.
   6. Výběrem Vytvořit zásadu vytvořte.

Krok 2: Streamování do QRadar SIEM – Vytvoření zásady naslouchání

1. Vyberte Přidat, zadejte jedinečný název zásady a vyberte Naslouchat.

2. Výběrem Vytvořit zásadu vytvořte.

3. Po vytvoření zásady naslouchání zkopírujte primární klíč připojovacího řetězce a uložte ho pro pozdější použití.

   

Krok 3: Vytvoření skupiny příjemců a následné zkopírování a uložení názvu, který se má použít na platformě SIEM

1. V části Entity v nabídce centra událostí Event Hubs vyberte Event Hubs a vyberte centrum událostí, které jste vytvořili.

   

2. Vyberte skupinu Příjemce.

Krok 4: Povolení průběžného exportu pro rozsah výstrah

1. Ve vyhledávacím poli Azure vyhledejte "policy" a přejděte na zásadu.

2. V nabídce Zásady vyberte Definice.

3. Vyhledejte "nasadit export" a vyberte možnost Nasadit export do centra událostí pro integrovanou zásadu Microsoft Defenderu pro cloudová data .

4. Vyberte Přiřadit.

5. Definujte základní možnosti zásad:

   1. V části Obor vyberte ... a vyberte obor, na který se má zásada použít.
   2. Vyhledejte kořenovou skupinu pro správu (pro obor tenanta), skupinu pro správu, předplatné nebo skupinu prostředků v oboru a vyberte Vybrat.
      • Pokud chcete vybrat úroveň kořenové skupiny pro správu tenanta, musíte mít oprávnění na úrovni tenanta.
   3. (Volitelné) V vyloučeních můžete definovat konkrétní předplatná, která se mají z exportu vyloučit.
   4. Zadejte název přiřazení.
   5. Ujistěte se, že je povolené vynucování zásad.

   

6. V parametrech zásad:

   1. Zadejte skupinu prostředků, do které se prostředek automatizace uloží.
   2. Vyberte umístění skupiny prostředků.
   3. Vyberte ... vedle podrobností centra událostí a zadejte podrobnosti centra událostí, včetně:
      • Předplatné
      • Obor názvů služby Event Hubs, který jste vytvořili.
      • Centrum událostí, které jste vytvořili
      • V autorizačních zásadách vyberte zásady sdíleného přístupu, které jste vytvořili pro odesílání výstrah.

   

7. Vyberte Zkontrolovat a vytvořit a dokončete proces definování průběžného exportu do služby Event Hubs.

   • Všimněte si, že když v tenantovi aktivujete zásady průběžného exportu (úroveň kořenové skupiny pro správu), automaticky streamuje upozornění na jakékoli nové předplatné, které se vytvoří v rámci tohoto tenanta.

Krok 5: Pro upozornění streamování na QRadar SIEM – Vytvoření účtu úložiště

1. Přejděte na web Azure Portal, vyberte Vytvořit prostředek a vyberte Účet úložiště. Pokud se tato možnost nezobrazí, vyhledejte "účet úložiště".

2. Vyberte Vytvořit.

3. Zadejte podrobnosti o účtu úložiště, vyberte Zkontrolovat a vytvořit a pak Vytvořit.

   

4. Po vytvoření účtu úložiště a přechodu na prostředek vyberte v nabídce přístupové klíče.

5. Výběrem možnosti Zobrazit klíče zobrazíte klíče a zkopírujte připojovací řetězec klíče 1.

   

Krok 6: Pro upozornění streamování na Splunk SIEM – Vytvoření aplikace Microsoft Entra

1. Do vyhledávacího pole nabídky vyhledejte "Microsoft Entra ID" a přejděte na Microsoft Entra ID.

2. Přejděte na web Azure Portal, vyberte Vytvořit prostředek a vyberte ID Microsoft Entra. Pokud se tato možnost nezobrazí, vyhledejte "active directory".

3. V nabídce vyberte Registrace aplikací.

4. Vyberte Nová registrace.

5. Zadejte jedinečný název aplikace a vyberte Zaregistrovat.

   

6. Zkopírujte do schránky a uložte ID aplikace (klienta) a ID adresáře (tenanta).

7. Vytvořte tajný klíč klienta pro aplikaci:

   1. V nabídce přejděte na Certifikáty a tajné kódy.
   2. Vytvořte heslo pro aplikaci, aby se při vyžádání tokenu prokázala jeho identita:
   3. Vyberte Nový tajný klíč klienta.
   4. Zadejte krátký popis, zvolte čas vypršení platnosti tajného klíče a vyberte Přidat.

   

8. Po vytvoření tajného kódu zkopírujte ID tajného klíče a uložte ho pro pozdější použití společně s ID aplikace a ID adresáře (tenanta).

Krok 7: U upozornění streamování na Splunk SIEM – Povolení čtení ID Microsoft Entra z centra událostí

1. Přejděte do oboru názvů služby Event Hubs, který jste vytvořili.

2. V nabídce přejděte do řízení přístupu.

3. Vyberte Přidat a vyberte Přidat přiřazení role.

4. Vyberte Přidat přiřazení role.

   

5. Na kartě Role vyhledejte příjemce dat služby Azure Event Hubs.

6. Vyberte Další.

7. Vyberte Vybrat členy.

8. Vyhledejte aplikaci Microsoft Entra, kterou jste předtím vytvořili, a vyberte ji.

9. Vyberte Zavřít.

Pokud chcete pokračovat v nastavování exportu výstrah, nainstalujte integrované konektory pro SIEM, které používáte.