资源日志(属于平台日志的一部分)是否来自 Azure QRadar 支持,还是我们需要为订阅中的每种资源类型构建自定义解析器?
我读了DSM documentation of QRadar ,并且它提到了平台事件日志,但没有提到资源日志。举个例子,我们从 Azure 部署中获取网关日志、Websocket 连接日志、请求日志等。 QRadar 支持的所有资源日志是否都从事件中心获取并集成到 QRadar(QRadar 支持的资源日志列表)?
最佳答案
如果我正确理解您的问题,您希望将现有解析器扩展到 QR,而无需实现自定义属性。
为此,IBM 发布了“IBM QRadar Content Extension for Azure”: https://exchange.xforce.ibmcloud.com/hub/extension/7a89f51852efa37de0809457ef1006dd
我建议安装另一个扩展“Microsoft Azure 安全中心连接 Assets 和风险连接器”( https://exchange.xforce.ibmcloud.com/hub/extension/0dbfab6a22bca7add7a99fa19fdd426f ),它允许您通过 ASC 监控其他风险事件并将尚未解析到 QR 中的 Assets 集成。
解决 Azure 日志数据问题的最佳方案可能是并行运行 QR + Sentinel 并使用 Azure Sentinel 并打开 Azure 特定资源的数据连接器。这可以让您了解最新的集成、数据解析和当前的内置规则。我们部署了这个场景,它适用于选定的源(Exchange、Teams、风险登录等),我们通过 Sentinel 中的内置规则来监控它们。随后,我们将它们集成到二维码查看中。 https://techcommunity.microsoft.com/t5/microsoft-sentinel-blog/azure-sentinel-side-by-side-with-qradar/ba-p/1488333 。我们最终将日志存储在 QRadar 中,但我们使用 Sentinel 来执行 Azure 特定规则,然后将事件集成到 QR 中。
问候。
关于azure - 支持从 Azure 到 QRadar 的事件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/69294258/