Trasmettere avvisi alle soluzioni di monitoraggio

Microsoft Defender per il cloud ha la possibilità di trasmettere avvisi di sicurezza in varie soluzioni di informazioni di sicurezza e gestione degli eventi (SIEM), risposta automatica dell'orchestrazione della sicurezza (SOAR) e di Gestione dei servizi IT. Gli avvisi di sicurezza vengono generati quando vengono rilevate minacce sulle risorse. Defender per il cloud assegna priorità ed elenca gli avvisi nella pagina Avvisi, insieme alle informazioni aggiuntive necessarie per analizzare rapidamente il problema. Vengono forniti passaggi dettagliati per facilitare il rimedio della minaccia rilevata. Tutti i dati degli avvisi vengono mantenuti per 90 giorni.

Sono disponibili strumenti predefiniti di Azure che consentono di visualizzare i dati degli avvisi nelle soluzioni seguenti:

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • Power BI
  • ServiceNow
  • QRadar di IBM
  • Palo Alto Networks
  • ArcSight

Trasmettere avvisi a Defender XDR con l'API Defender XDR

Defender il cloud si integra in modo nativo con Microsoft Defender XDR e consente di usare l'API degli incidenti e degli avvisi di Defender XDR per trasmettere avvisi e incidenti in soluzioni non Microsoft. I clienti di Defender per il cloud possono accedere a un'API per tutti i prodotti di sicurezza Microsoft e possono usare questa integrazione come modo più semplice per esportare avvisi e incidenti.

Informazioni su come integrare gli strumenti SIEM con Defender XDR.

Trasmettere gli avvisi a Microsoft Sentinel

Defender per il cloud si integra in modo nativo con Microsoft Sentinel, soluzione SIEM e SOAR nativa del cloud di Azure.

Connettori di Microsoft Sentinel per Defender per il cloud

Microsoft Sentinel include connettori predefiniti per Microsoft Defender per il cloud a livello di abbonamento e di tenant.

È possibile:

Quando si connette Defender per il cloud a Microsoft Sentinel, lo stato degli avvisi di Defender per il cloud inseriti in Microsoft Sentinel viene sincronizzato tra i due servizi. Ad esempio, quando un avviso viene chiuso in Defender per il cloud, viene visualizzato anche come chiuso in Microsoft Sentinel. Quando si modifica lo stato di un avviso in Defender per il cloud, viene aggiornato anche lo stato dell'avviso in Microsoft Sentinel. Tuttavia, gli stati di qualsiasi incidente di Microsoft Sentinel che contengono l'avviso sincronizzato di Microsoft Sentinel non vengono aggiornati.

È possibile abilitare la funzionalità di sincronizzazione degli avvisi bidirezionali per sincronizzare automaticamente lo stato degli avvisi originali di Defender per il cloud con gli incidenti di Microsoft Sentinel che contengono le copie degli avvisi di Defender per il cloud. Ad esempio, quando viene chiuso un incidente di Microsoft Sentinel che contiene un avviso di Defender per il cloud, Defender per il cloud chiude automaticamente l'avviso originale corrispondente.

Informazioni su come connettere gli avvisi da Microsoft Defender per il cloud.

Configurare l'inserimento di tutti i log di controllo in Microsoft Sentinel

Un'altra alternativa per l'analisi degli avvisi di Defender per il cloud in Microsoft Sentinel consiste nel trasmettere i log di controllo in Microsoft Sentinel:

Suggerimento

Microsoft Sentinel viene fatturato in base al volume di dati che inserisce per l'analisi in Microsoft Sentinel e archivia nell'area di lavoro Log Analytics di Monitoraggio di Azure. Microsoft Sentinel offre un modello di prezzi flessibile e prevedibile. Altre informazioni nella pagina dei prezzi di Microsoft Sentinel.

Trasmettere avvisi a QRadar e Splunk

Per esportare gli avvisi di sicurezza in Splunk e QRadar, è necessario usare Hub eventi e un connettore predefinito. È possibile usare uno script di PowerShell o il portale di Azure per configurare i requisiti per l'esportazione degli avvisi di sicurezza per l'abbonamento o il tenant. Una volta soddisfatti i requisiti, è necessario usare la procedura specifica per ogni informazione di sicurezza e gestione degli eventi per installare la soluzione nella piattaforma SIEM.

Prerequisiti

Prima di configurare i servizi di Azure per l'esportazione degli avvisi, assicurarsi di disporre di:

  • Una sottoscrizione di Azure (Creare un account gratuito)
  • Un gruppo di risorse di Azure (Creare un nuovo gruppo di risorse)
  • Ruolo proprietario nell'ambito degli avvisi (sottoscrizione, gruppo di gestione o tenant) o queste autorizzazioni specifiche:
    • Autorizzazioni di scrittura per Hub eventi e criteri Hub eventi
    • Creare autorizzazioni per applicazioni Microsoft Entra, se non si usa un'applicazione Microsoft Entra esistente
    • Assegnare le autorizzazioni per i criteri, se si usa il criterio di Azure 'DeployIfNotExist'

Configurare i servizi di Azure

È possibile configurare l'ambiente di Azure per supportare l'esportazione continua usando:

  1. Scaricare lo script di PowerShell ed eseguirlo.

  2. Immettere i parametri richiesti.

  3. Eseguire lo script.

Lo script esegue automaticamente tutti i passaggi. Al termine dello script, usare l'output per installare la soluzione nella piattaforma SIEM.

Azure portal

  1. Accedere al portale di Azure.

  2. Cercare e selezionare Event Hubs.

  3. Creare uno spazio dei nomi di Hub eventi e un hub eventi.

  4. Definire un criterio per l'hub eventi con autorizzazioni Send.

Se si stanno trasmettendo avvisi a QRadar:

  1. Creare un criterio hub eventi Listen.

  2. Copiare e salvare la stringa di connessione del criterio da usare in QRadar.

  3. Creare un gruppo di consumer.

  4. Copiare e salvare il nome da usare nella piattaforma SIEM.

  5. Abilitare l'esportazione continua degli avvisi di sicurezza nell'hub eventi definito.

  6. Creare un account di archiviazione.

  7. Copiare e salvare la stringa di connessione dell'account da usare in QRadar.

Per istruzioni più dettagliate, vedere Preparare le risorse di Azure per l'esportazione in Splunk e QRadar.

Se si stanno trasmettendo avvisi a Splunk:

  1. Creare un'applicazione Microsoft Entra.

  2. Salvare il tenant, l'ID app e la password dell'app.

  3. Concedere le autorizzazioni all'applicazione Microsoft Entra per leggere dall'hub eventi creato in precedenza.

Per istruzioni più dettagliate, vedere Preparare le risorse di Azure per l'esportazione in Splunk e QRadar.

Connettere l'hub eventi alla soluzione preferita usando i connettori predefiniti

Ogni piattaforma SIEM ha uno strumento per abilitarlo per ricevere avvisi da Hub eventi di Azure. Installare lo strumento per la piattaforma per iniziare a ricevere avvisi.

Strumento Ospitata in Azure Descrizione
IBM QRadar No Microsoft Azure DSM e il protocollo di Hub eventi di Microsoft Azure sono scaricabili dal sito Web dell'assistenza IBM.
Splunk No Il componente aggiuntivo Splunk per i servizi cloud Microsoft è un progetto open source in Splunkbase.

Se non è possibile installare un componente aggiuntivo sull'istanza Splunk (ad esempio, se si usa un proxy o Splunk Cloud), è possibile inoltrare questi eventi all'agente di raccolta di eventi Splunk HTTP tramite la funzione di Azure per Splunk, che viene attivata da nuovi messaggi nell'hub eventi.

Trasmettere gli avvisi con l'esportazione continua

Per trasmettere gli avvisi su ArcSight, SumoLogic, server Syslog, LogRhythm, sulla piattaforma Logz.io Cloud Observabilitye su altre soluzioni di monitoraggio, connettere Defender per il cloud usando l'esportazione continua e l'Hub eventi di Azure.

Nota

Per trasmettere gli avvisi a livello di tenant, usare questo criterio di Azure e impostare l'ambito nel gruppo di gestione radice. Sono necessarie autorizzazioni per il gruppo di gestione radice, come illustrato nelle autorizzazioni di Defender per il cloud: distribuire l'esportazione in un hub eventi per gli avvisi e i consigli di Microsoft Defender per il cloud.

Per trasmettere gli avvisi con l'esportazione continua:

  1. Abilitare l'esportazione continua:

  2. Connettere l'hub eventi alla soluzione preferita usando i connettori predefiniti:

    Strumento Ospitata in Azure Descrizione
    sumologic No Le istruzioni per configurare SumoLogic per il consumo dei dati di un hub eventi sono disponibili alla pagina Raccogliere log per l'app di audit da hub eventi.
    ArcSight No Il connettore intelligente dell'Hub eventi di Azure è disponibile nella raccolta di connettori intelligenti ArcSight.
    Server Syslog No Se si vuole trasmettere i dati di Monitoraggio di Azure direttamente a un server syslog, è possibile usare una soluzione basata su una funzione di Azure.
    LogRhythm No Le istruzioni per configurare LogRhythm per raccogliere i log da un hub eventi sono disponibili qui.
    Logz.io Per altre informazioni, consultare Introduzione al monitoraggio e alla registrazione con Logz.io per app Java in esecuzione in Azure
  3. (Facoltativo) Trasmettere i log non elaborati all'hub eventi e connettersi alla soluzione preferita. Per altre informazioni, consultare Dati di monitoraggio disponibili.

Per visualizzare gli schemi eventi dei tipi di dati esportati, visitare gli schemi di eventi di Hub eventi.

Usare l'API Microsoft Graph Security per trasmettere avvisi ad applicazioni non Microsoft

Integrazione predefinita di Defender per il cloud con l'API Microsoft Graph Security senza la necessità di ulteriori requisiti di configurazione.

È possibile usare questa API per trasmettere avvisi dall'intero tenant (e i dati di molti prodotti Microsoft Security) in SIEM non Microsoft e altre piattaforme comuni:

Nota

Il modo migliore per esportare gli avvisi è tramite l'esportazione continua dei dati di Microsoft Defender per il cloud.

Passaggi successivi

Questa pagina ha spiegato come assicurarsi che i dati degli avvisi di Microsoft Defender per il cloud siano disponibili nello strumento SIEM, SOAR o di Gestione dei servizi IT preferito. Per informazioni correlate, vedere: