QRadar 是否支持来自Azure的资源日志(属于平台日志的一部分),或者我们是否需要为订阅中的每种资源类型构建自定义解析器?
我阅读了QRadar 的 DSM 文档,它提到了平台活动日志,但没有提到资源日志。举个例子,我们从 Azure 部署中获取网关日志、websocket 连接日志、请求日志等。QRadar 支持的所有资源日志是否都从事件中心获取并集成到 QRadar(QRadar 支持的资源日志列表)?
问问题
117 次
1 回答
0
如果我正确理解您的问题,您希望将现有解析器扩展到 QR,而无需实现自定义属性。
为此,IBM 发布了“IBM QRadar Content Extension for Azure”: https ://exchange.xforce.ibmcloud.com/hub/extension/7a89f51852efa37de0809457ef1006dd
我建议安装另一个扩展“Microsoft Azure 安全中心连接的资产和风险连接器”(https://exchange.xforce.ibmcloud.com/hub/extension/0dbfab6a22bca7add7a99fa19fdd426f),它允许您通过 ASC 监控其他风险事件并集成资产尚未解析为 QR。
解决 Azure 日志数据问题的最佳方案可能是并行运行 QR + Sentinel 并使用 Azure Sentinel 并为 Azure 特定资源打开数据连接器。这使您能够及时了解集成、数据解析和当前的内置规则。我们已经部署了这个场景,它适用于选定的来源(Exchange、Teams、风险登录等),我们通过 Sentinel 中的内置规则对其进行监控。随后,我们将它们集成到二维码中查看。https://techcommunity.microsoft.com/t5/microsoft-sentinel-blog/azure-sentinel-side-by-side-with-qradar/ba-p/1488333。我们最终将日志存储在 QRadar 中,但我们将 Sentinel 用于 Azure 特定规则,然后将事件集成到 QR。
问候。
于 2022-01-23T11:44:50.847 回答