مشاركة عبر

إعداد موارد Azure للتصدير إلى Splunk وQRadar

  • مقالة

من أجل دفق تنبيهات أمان Microsoft Defender for Cloud إلى IBM QRadar وSplunk، يجب عليك إعداد الموارد في Azure، مثل مراكز الأحداث ومعرف Microsoft Entra. فيما يلي الإرشادات الخاصة بتكوين هذه الموارد في مدخل Microsoft Azure، ولكن يمكنك أيضًا تكوينها باستخدام برنامج PowerShell النصي. تأكد من مراجعة تنبيهات البث إلى QRadar وSplunk قبل تكوين موارد Azure لتصدير التنبيهات إلى QRadar وSplunk.

لتكوين موارد Azure لـ QRadar وSplunk في مدخل Microsoft Azure:

الخطوة 1: إنشاء مساحة اسم مراكز الأحداث ومركز الأحداث مع أذونات الإرسال

  1. في خدمة مراكز الأحداث، قم بإنشاء مساحة اسم مراكز الأحداث:

    1. حدد إنشاء.
    2. أدخل تفاصيل مساحة الاسم، وحدد مراجعة + إنشاء، وحدد إنشاء.

    لقطة شاشة لإنشاء مساحة اسم مراكز الأحداث في مراكز أحداث Microsoft.

  2. إنشاء مركز أحداث:

    1. في مساحة الاسم التي تقوم بإنشائها، حدد + مركز الأحداث.
    2. أدخل تفاصيل مركز الحدث، وحدد مراجعة + إنشاء، وحدد إنشاء.

  3. إنشاء نهج وصول مشترك.

    1. في قائمة مركز حدث، حدد مساحة اسم مراكز الأحداث التي أنشأتها.
    2. في قائمة مساحة اسم مركز الحدث، حدد مراكز الأحداث.
    3. حدد مركز الحدث الذي قمت بإنشائه للتو.
    4. في قائمة مركز الحدث، حدد نهج الوصول المشترك.
    5. حدد إضافة، وأدخل اسم نهج فريد من نوعه، وحدد إرسال.
    6. حدد "Create" لإنشاء النهج. لقطة شاشة لإنشاء نهج مشتركة في مراكز أحداث Microsoft.

الخطوة 2: للبث إلى QRadar SIEM - إنشاء نهج الاستماع

  1. حدد إضافة، وأدخل اسم نهج فريد من نوعه، وحدد استماع.

  2. حدد "Create" لإنشاء النهج.

  3. بعد إنشاء سياسة الاستماع، انسخ المفتاح الأساسي لسلسلة الاتصال واحفظه لاستخدامه لاحقًا.

    لقطة شاشة لإنشاء نهج استماع في مراكز أحداث Microsoft.

الخطوة 3: إنشاء مجموعة مستهلكين، ثم نسخ الاسم وحفظه لاستخدامه في النظام الأساسي SIEM

  1. في قسم الكيانات من قائمة مراكز الأحداث، حدد مراكز الأحداث وحدد مركز الحدث الذي أنشأته.

    لقطة شاشة لفتح مركز حدث من مراكز أحداث Microsoft.

  2. حدد مجموعة المستهلك.

الخطوة 4: تمكين التصدير المستمر لنطاق التنبيهات

  1. في مربع البحث Azure، ابحث عن "نهج" وانتقل إلى نهج.

  2. في نافذة النهج، حدد تعريفات.

  3. ابحث عن "نشر التصدير" وحدد النهج المضمن نشر التصدير إلى مركز الأحداث ل Microsoft Defender for Cloud.

  4. حدد تعيين.

  5. تحديد خيارات النهج الأساسية:

    1. في نطاق، حدد ... لتحديد النطاق لتطبيق النهج عليه.
    2. ابحث عن مجموعة إدارة الجذر (لنطاق المستأجر) أو مجموعة الإدارة أو الاشتراك أو مجموعة الموارد في النطاق واختر تحديد.
      • لتحديد مستوى مجموعة إدارة جذر المستأجر، يجب أن يكون لديك أذونات على مستوى المستأجر.
    3. في الاستثناءات (اختياري)، يمكنك تحديد اشتراكات محددة لاستبعادها من التصدير.
    4. أدخل اسم مهمة.
    5. تأكد من تمكين فرض النهج.

    لقطة شاشة لمهمة نهج تصدير.

  6. في معلمات النهج:

    1. أدخل مجموعة الموارد حيث تم حفظ مورد الأتمتة.
    2. قم بتحديد موقع مجموعة الموارد.
    3. حدد ... بجوار تفاصيل Event Hub وأدخل تفاصيل مركز الأحداث، بما في ذلك:
      • الاشتراك.
      • مساحة اسم مراكز الأحداث التي قمت أنت بإنشائها.
      • مركز الأحداث الذي قمت بإنشائه.
      • في authorizationrules، حدد نهج الوصول المشترك الذي قمت بإنشائه لإرسال التنبيهات.

    لقطة شاشة لمعلمات لنهج تصدير.

  7. حدد مراجعة وإنشاء وإنشاء لإنهاء عملية تعريف التصدير المستمر إلى مراكز الأحداث.

    • لاحظ أنه عند تنشيط سياسة التصدير المستمرة على المستأجر (مستوى مجموعة إدارة الجذر)، فإنه يقوم تلقائيًا بدفق تنبيهاتك على أي اشتراك جديد سيتم إنشاؤه في ظل هذا المستأجر.

الخطوة 5: لتدفق التنبيهات إلى QRadar SIEM - إنشاء حساب تخزين

  1. في مدخل Microsoft Azure، حدد إنشاء مورد، ثم حدد حساب التخزين. وإذا لم يظهر هذا الخيار، فابحث عن "حساب التخزين".

  2. حدد إنشاء.

  3. أدخل تفاصيل حساب التخزين، وحدد مراجعة وإنشاء، ثم إنشاء.

    لقطة شاشة لإنشاء حساب تخزين.

  4. بعد إنشاء حساب التخزين الخاص بك والانتقال إلى المورد، حدد مفاتيح الوصول في القائمة.

  5. حدد إظهار المفاتيح لعرض المفاتيح، وانسخ سلسلة الاتصال من المفتاح 1.

    لقطة شاشة لنسخ مفتاح تخزين.

الخطوة 6: لتدفق التنبيهات إلى Splunk SIEM - إنشاء تطبيق Microsoft Entra

  1. في مربع البحث في القائمة، ابحث عن "Microsoft Entra ID" وانتقل إلى Microsoft Entra ID.

  2. انتقل إلى مدخل Microsoft Azure، وحدد Create a resource، وحدد Microsoft Entra ID. إذا لم يظهر هذا الخيار، فابحث عن "الدليل النشط".

  3. في القائمة، حدد تسجيلات التطبيق.

  4. حدد تسجيل جديد.

  5. أدخل اسمًا فريدًا لتطبيقك وحدد سجل.

    لقطة شاشة لتطبيق التسجيل.

  6. انسخ إلى الحافظة واحفظ معرّف التطبيق (العميل) ومعرّف الدليل (المستأجر).

  7. قم بإنشاء البيانات السرية للعميل الخاصة بالتطبيق:

    1. في القائمة، انتقل إلى الشهادات والأسرار.
    2. أنشئ كلمة مرور للتطبيق لإثبات هويته عند طلب رمز مميز:
    3. حدد سر عميل جديد.
    4. أدخل وصفًا موجزًا ، واختر وقت انتهاء صلاحية البيانات السرية، وحدد إضافة.

    لقطة شاشة لإنشاء بيانات عميل سرية.

  8. بعد إنشاء البيانات السرية، انسخ المعرّف السري واحفظه لاستخدامه لاحقًا مع معرّف التطبيق ومعرّف الدليل (المستأجر).

الخطوة 7: لتدفق التنبيهات إلى Splunk SIEM - السماح لمعرف Microsoft Entra بالقراءة من مركز الأحداث

  1. انتقل إلى مساحة اسم مراكز الأحداث التي قمت بإنشائها.

  2. في القائمة، انتقل إلى التحكم بالوصول.

  3. انقر فوق إضافة ثم حدد إضافة تعيين الدور.

  4. حدد Add role assignment.

    لقطة شاشة لإضافة تعيين الدور.

  5. في علامة التبويب الأدوار، ابحث عن مراكز الأحداث Azure Data Receiver.

  6. حدد التالي.

  7. حدد تحديد الأعضاء.

  8. ابحث عن تطبيق Microsoft Entra الذي أنشأته من قبل وحدده.

  9. حدد إغلاق.

لمتابعة إعداد تصدير التنبيهات، قم بتثبيت الموصلات المضمنة لـ SIEM الذي تستخدمه.