我的一位客户正在尝试将 IBM QRADAR SIEM 与 Azure 集成。他们希望将来自各种来源的所有数据发送到事件中心,这些数据将与 Azure AD、Azure VM、Key Vault 等相关。
但我的客户只想从 Event Hub 发送安全相关数据并丢弃所有其他数据,然后仅将安全相关数据发送到 IBM QRADAR。从事件中心过滤此数据的方法是什么,以便 SIEM 解决方案不会获得太多与安全无关的数据并阻塞系统。
问问题
569 次
1 回答
0
您可以考虑仅在 Azure 流分析作业上查询安全相关事件,并将这些事件转发到 QRadar 可以读取的另一个 eventthub。
在此处查看有关 ASA EH 集成的更多信息 - https://docs.microsoft.com/en-us/azure/event-hubs/process-data-azure-stream-analytics
于 2020-03-17T00:58:24.153 回答