Question

Один из моих клиентов пытается интегрировать IBM QRADAR SIEM с Azure. Они хотели бы отправить все данные из различных источников в концентратор событий, и эти данные будут относиться к Azure AD, Azure виртуальным машинам, Key Vault et c.

Но мой заказчик хочет только отправить связанные с безопасностью данные из Event Hub и отбросить все остальные данные, а затем отправить только связанные с безопасностью данные в IBM QRADAR. Каков метод фильтрации этих данных из Event Hub, чтобы решение SIEM не получало слишком много данных, не связанных с безопасностью, и не душило систему.

Serkant Karaca · Answer 1 · 17 марта 2020

Вы можете рассмотреть запрос событий, связанных с безопасностью, только в задании Azure Stream Analytics и перенаправить их в другой концентратор событий, который может прочитать QRadar.

Подробнее об интеграции ASA EH здесь - https://docs.microsoft.com/en-us/azure/event-hubs/process-data-azure-stream-analytics

Как отфильтровать данные, собранные в Event Hub, перед отправкой во внешнее решение SIEM, которое IBM QRADAR здесь

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как отфильтровать данные, собранные в Event Hub, перед отправкой во внешнее решение SIEM, которое IBM QRADAR здесь

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы