Microsoft Sentinel-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Microsoft Sentinel so konfigurieren, dass Vorfälle und Benachrichtigungen mithilfe von Logic Apps und Webhooks an Google Security Operations gesendet werden.

Microsoft Sentinel ist eine cloudnative Lösung für Sicherheitsinformationen und ‑ereignismanagement (SIEM) sowie für Sicherheitsorchestrierung, ‑automatisierung und ‑reaktion (SOAR). Es bietet intelligente Sicherheitsanalysen und Threat Intelligence für das gesamte Unternehmen.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Privilegierter Zugriff auf das Microsoft Azure-Portal mit Berechtigungen für Folgendes:
- Logic Apps erstellen
- Automatisierungsregeln für Microsoft Sentinel konfigurieren
- Berechtigungen für Ressourcengruppen verwalten
- Dienstprinzipale erstellen und verwalten
Zugriff auf die Google Cloud Console (zum Erstellen von API-Schlüsseln)

Webhook-Feed in Google SecOps erstellen

Feed erstellen

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Microsoft Sentinel Incidents.
Wählen Sie Webhook als Quelltyp aus.
Wählen Sie Microsoft Sentinel als Logtyp aus.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Trennzeichen für Aufteilung (optional): Lassen Sie das Feld leer, damit jeder Vorfall oder jede Benachrichtigung ein einzelnes Ereignis ist.
- Asset-Namespace: Der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Secret-Schlüssel generieren und speichern

Nachdem Sie den Feed erstellt haben, müssen Sie einen geheimen Schlüssel für die Authentifizierung generieren:

Klicken Sie auf der Seite mit den Feeddetails auf Geheimen Schlüssel generieren.
In einem Dialogfeld wird der geheime Schlüssel angezeigt.
Kopieren Sie den geheimen Schlüssel und speichern Sie ihn sicher.

Hinweis :Der geheime Schlüssel wird nur einmal angezeigt und kann später nicht mehr abgerufen werden. Wenn Sie den Schlüssel verlieren, müssen Sie einen neuen geheimen Schlüssel generieren.

Feed-Endpunkt-URL abrufen

Rufen Sie den Tab Details des Feeds auf.
Kopieren Sie im Abschnitt Endpunktinformationen die Feed-Endpunkt-URL.

Das URL-Format lautet:

https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

oder

https://<REGION>-malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

Speichern Sie diese URL für die nächsten Schritte.
Klicken Sie auf Fertig.

Google Cloud API-Schlüssel erstellen

Für Google SecOps ist ein API-Schlüssel für die Authentifizierung erforderlich. Erstellen Sie einen eingeschränkten API-Schlüssel in der Google Cloud Console.

API-Schlüssel erstellen

Rufen Sie die Seite Anmeldedaten in derGoogle Cloud Console auf.
Wählen Sie Ihr Projekt aus (das Projekt, das mit Ihrer Google SecOps-Instanz verknüpft ist).
Klicken Sie auf Anmeldedaten erstellen > API-Schlüssel.
Ein API-Schlüssel wird erstellt und in einem Dialogfeld angezeigt.
Klicken Sie auf API-Schlüssel bearbeiten, um den Schlüssel einzuschränken.

API-Schlüssel einschränken

Auf der Seite mit den API-Schlüssel-Einstellungen:
- Name: Geben Sie einen aussagekräftigen Namen ein, z. B. Google SecOps Webhook API Key.
Gehen Sie unter API-Einschränkungen so vor:
- Wählen Sie Schlüssel einschränken aus.
- Suchen Sie in der Liste APIs auswählen nach Google SecOps API (oder Chronicle API) und wählen Sie die API aus.
Klicken Sie auf Speichern.
Kopieren Sie den API-Schlüsselwert aus dem Feld API-Schlüssel oben auf der Seite.
Speichern Sie den API-Schlüssel sicher.

Hinweis :Durch das Einschränken des API-Schlüssels wird sichergestellt, dass er nur mit der Google SecOps API verwendet werden kann. Dadurch wird das Sicherheitsrisiko verringert, falls der Schlüssel manipuliert wird.

Logic App für Microsoft Sentinel-Vorfälle konfigurieren

In diesem Abschnitt wird eine Logic App konfiguriert, um Microsoft Sentinel-Vorfälle an Google SecOps zu senden.

Logic App erstellen

Melden Sie sich im Azure-Portal an.
Klicken Sie auf Ressource erstellen.
Suchen Sie nach Logic App.
Klicken Sie auf Erstellen, um den Erstellungsprozess zu starten.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Abo: Wählen Sie das Abo aus.
- Ressourcengruppe: Wählen Sie die Ressourcengruppe aus.
- Name: Geben Sie einen Namen für die Logic App ein, z. B. Sentinel-Incidents-to-SecOps.
- Region: Wählen Sie die Region aus.
- Log Analytics-Arbeitsbereich: Wählen Sie den Log Analytics-Arbeitsbereich aus.
Klicken Sie auf Überprüfen + Erstellen.
Klicken Sie auf Erstellen.
Klicken Sie nach dem Erstellen der Logic App auf Zur Ressource.

Logic App-Designer konfigurieren

Klicken Sie auf Entwicklertools> Logic App Designer.
Klicken Sie auf Trigger hinzufügen.
Suchen Sie nach Microsoft Sentinel.
Wählen Sie Microsoft Sentinel-Vorfall als Trigger aus.
Wenn Sie noch keine Verbindung zu Microsoft Sentinel erstellt haben, müssen Sie dies jetzt tun.
Klicken Sie auf Neu erstellen und folgen Sie der Anleitung zur Authentifizierung:
- Wählen Sie Mit verwalteter Identität anmelden (empfohlen) oder Anmelden aus, um Ihre Anmeldedaten zu verwenden.
Klicken Sie auf Neuen Schritt einfügen.
Klicken Sie auf Aktion hinzufügen.
Suchen Sie nach der Aktion HTTP und wählen Sie sie aus.
Geben Sie Werte für die folgenden Eingabeparameter an:
- URI: Fügen Sie die Feed-Endpunkt-URL aus dem Google SecOps-Feed ein.
- Methode: Wählen Sie POST aus.
- Header: Fügen Sie die folgenden Header hinzu:
  - Header name: X-goog-api-key
  - Wert: Fügen Sie den zuvor erstellten API-Schlüssel ein.
  - Header name: X-Webhook-Access-Key
  - Wert: Fügen Sie den geheimen Schlüssel aus der Feederstellung ein.
Klicken Sie in das Feld Body (Textkörper).
Klicken Sie im Bereich für dynamischen Content auf den Tab Ausdruck.
Geben Sie @{triggerBody()} in das Ausdrucksfeld ein und klicken Sie auf OK.

Hinweis :Mit dem Ausdruck @{triggerBody()} wird das vollständige Vorfalls-JSON an Google SecOps gesendet. Dieser Parameter ist erforderlich. Andernfalls empfängt der Webhook leere Anfragen und es werden keine Daten aufgenommen.
Klicken Sie auf Speichern, um die Logic App zu speichern.

Microsoft Sentinel-Berechtigungen zum Ausführen der Logic App erteilen

Damit Automatisierungsregeln die Logic App erfolgreich auslösen können, sind zwei separate Berechtigungszuweisungen erforderlich.

Berechtigung 1: Der verwalteten Identität der Logik-App Zugriff auf den Sentinel-Arbeitsbereich gewähren

Die verwaltete Identität der Logic App benötigt die Berechtigung, Vorfälle aus dem Microsoft Sentinel-Arbeitsbereich zu lesen.

Verwaltete Identität für Logic App aktivieren

Rufen Sie im Azure-Portal Ihre Logic App-Ressource (Sentinel-Incidents-to-SecOps) auf.
Wählen Sie in der linken Navigationsleiste unter Einstellungen die Option Identität aus.
Legen Sie auf dem Tab System assigned (Vom System zugewiesen) den Status auf On (Ein) fest.
Klicken Sie auf Speichern.
Klicken Sie zum Bestätigen auf Ja.
Notieren Sie sich nach der Aktivierung die angezeigte Objekt-ID (Prinzipal-ID).

Logic App die Rolle „Microsoft Sentinel Responder“ gewähren

Rufen Sie im Azure-Portal Ihren Microsoft Sentinel-Arbeitsbereich auf.
Wählen Sie in der linken Navigationsleiste unter Einstellungen die Option Zugriffssteuerung (IAM) aus.
Klicken Sie auf + Hinzufügen> Rollenzuweisung hinzufügen.
Suchen Sie auf dem Tab Rolle nach Microsoft Sentinel Responder und wählen Sie die Rolle aus:
- Alternative: Wenn das Playbook nur Vorfälle liest, verwenden Sie die Rolle Microsoft Sentinel Reader.
Klicken Sie auf Weiter.
Konfigurieren Sie auf dem Tab Mitglieder Folgendes:
1. Zugriff zuweisen an: Wählen Sie Verwaltete Identität aus.
2. Klicken Sie auf + Mitglieder auswählen.
3. Wählen Sie in der Liste Verwaltete Identität die Option Logic App aus.
4. Wählen Sie Ihre Logic App (Sentinel-Incidents-to-SecOps) aus der Liste aus.
Klicken Sie auf Auswählen.
Klicken Sie auf Überprüfen und zuweisen.
Klicken Sie zur Bestätigung noch einmal auf Überprüfen und zuweisen.

Berechtigung 2: Microsoft Sentinel-Automatisierungsberechtigungen für Ressourcengruppe gewähren

Für Microsoft Sentinel ist die Rolle Microsoft Sentinel Automation Contributor (Microsoft Sentinel-Beitragender für die Automatisierung) für die Ressourcengruppe erforderlich, die die Logic App enthält. Ohne diese Berechtigung können durch Automatisierungsregeln keine Playbooks ausgelöst werden.

Automatisierungsberechtigungen über die Sentinel-Benutzeroberfläche erteilen

Rufen Sie im Azure-Portal Ihren Microsoft Sentinel-Arbeitsbereich auf.
Öffnen Sie die Einstellungen>Automatisierung.
Klicken Sie oben auf der Seite auf Playbook-Berechtigungen verwalten.
Konfigurieren Sie im Bereich Berechtigungen verwalten Folgendes:
1. Wählen Sie die Ressourcengruppe mit Ihrer Logic App aus (Sentinel-Incidents-to-SecOps).
Klicken Sie auf Übernehmen.

Hinweis :Dadurch wird dem Microsoft Sentinel-Dienstprinzipal (Azure Security Insights) die Rolle Microsoft Sentinel Automation Contributor in der ausgewählten Ressourcengruppe zugewiesen.

Berechtigungen für die Automatisierung prüfen (optional)

Wechseln Sie im Azure-Portal zur Ressourcengruppe, die Ihre Logic App enthält.
Wählen Sie links im Navigationsbereich Zugriffssteuerung (IAM) aus.
Klicken Sie auf Rollenzuweisungen.
Suchen Sie nach Azure Security Insights.
Prüfen Sie, ob Azure Security Insights die Rolle Microsoft Sentinel Automation Contributor hat.

Hinweis :Wenn Sie in der Sentinel-Benutzeroberfläche die Option Playbook-Berechtigungen verwalten nicht sehen, können Sie Berechtigungen manuell gewähren:
Rufen Sie die Ressourcengruppe auf, die Ihre Logic App enthält.
Wählen Sie Zugriffssteuerung (IAM) > Rollenzuweisung hinzufügen aus.
Wählen Sie die Rolle Microsoft Sentinel Automation Contributor aus.
Wählen Sie unter Mitglieder die Option Nutzer, Gruppe oder Diensthauptkonto aus.
Klicken Sie auf + Mitglieder auswählen und suchen Sie nach Azure Security Insights.
Wählen Sie Azure Security Insights aus und klicken Sie auf Select (Auswählen).
Klicken Sie zur Bestätigung zweimal auf Überprüfen und zuweisen.

Logic App für Microsoft Sentinel-Benachrichtigungen konfigurieren

In diesem Abschnitt wird eine separate Logic App konfiguriert, um Microsoft Sentinel-Benachrichtigungen an Google SecOps zu senden.

Logic App für Benachrichtigungen erstellen

Rufen Sie die Azure-Portal-Startseite auf.
Klicken Sie auf Ressource erstellen.
Suchen Sie nach Logic App.
Klicken Sie auf Erstellen, um den Erstellungsprozess zu starten.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Abo: Wählen Sie das Abo aus.
- Ressourcengruppe: Wählen Sie die Ressourcengruppe aus.
- Name: Geben Sie einen Namen für die Logic App ein, z. B. Sentinel-Alerts-to-SecOps.
- Region: Wählen Sie die Region aus.
- Log Analytics-Arbeitsbereich: Wählen Sie den Log Analytics-Arbeitsbereich aus.
Klicken Sie auf Überprüfen + Erstellen.
Klicken Sie auf Erstellen.
Klicken Sie nach dem Erstellen der Logic App auf Zur Ressource.

Logic App-Designer für Benachrichtigungen konfigurieren

Klicken Sie auf Entwicklertools> Logic App Designer.
Klicken Sie auf Trigger hinzufügen.
Suchen Sie nach Microsoft Sentinel.
Wählen Sie Microsoft Sentinel-Benachrichtigung als Trigger aus.
Wenn Sie noch keine Verbindung zu Microsoft Sentinel erstellt haben, müssen Sie dies jetzt tun.
Klicken Sie auf Neu erstellen und folgen Sie der Anleitung zur Authentifizierung:
- Wählen Sie Mit verwalteter Identität anmelden (empfohlen) oder Anmelden aus, um Ihre Anmeldedaten zu verwenden.
Klicken Sie auf Neuen Schritt einfügen.
Klicken Sie auf Aktion hinzufügen.
Suchen Sie nach der Aktion HTTP und wählen Sie sie aus.
Geben Sie Werte für die folgenden Eingabeparameter an:
- URI: Fügen Sie die Feed-Endpunkt-URL aus dem Google SecOps-Feed ein.
- Methode: Wählen Sie POST aus.
- Header: Fügen Sie die folgenden Header hinzu:
  - Header name: X-goog-api-key
  - Wert: Fügen Sie den zuvor erstellten API-Schlüssel ein.
  - Header name: X-Webhook-Access-Key
  - Wert: Fügen Sie den geheimen Schlüssel aus der Feederstellung ein.
Klicken Sie in das Feld Body (Textkörper).
Klicken Sie im Bereich für dynamischen Content auf den Tab Ausdruck.
Geben Sie @{triggerBody()} in das Ausdrucksfeld ein und klicken Sie auf OK.

Hinweis :Mit dem Ausdruck @{triggerBody()} wird das vollständige JSON des Benachrichtigungsinhalts an Google SecOps gesendet. Dieser Parameter ist erforderlich. Andernfalls empfängt der Webhook leere Anfragen und es werden keine Daten aufgenommen.
Klicken Sie auf Speichern, um die Logic App zu speichern.

Microsoft Sentinel-Berechtigungen zum Ausführen der Logic App für Benachrichtigungen erteilen

Für die Logic App für Benachrichtigungen sind zwei separate Berechtigungszuweisungen erforderlich, die mit der Konfiguration der Logic App für Vorfälle identisch sind.

Berechtigung 1: Der verwalteten Identität der Logic App Zugriff auf den Sentinel-Arbeitsbereich gewähren

Die verwaltete Identität der Logic App für Benachrichtigungen benötigt die Berechtigung, Benachrichtigungen aus dem Microsoft Sentinel-Arbeitsbereich zu lesen.

Verwaltete Identität für die Logic App für Benachrichtigungen aktivieren

Rufen Sie im Azure-Portal die Logic Apps-Ressource für Ihre Benachrichtigungen auf (Sentinel-Alerts-to-SecOps).
Wählen Sie in der linken Navigationsleiste unter Einstellungen die Option Identität aus.
Legen Sie auf dem Tab System assigned (Vom System zugewiesen) den Status auf On (Ein) fest.
Klicken Sie auf Speichern.
Klicken Sie zum Bestätigen auf Ja.
Notieren Sie sich nach der Aktivierung die angezeigte Objekt-ID (Prinzipal-ID).

Der Logic App für Benachrichtigungen die Rolle „Microsoft Sentinel Responder“ zuweisen

Rufen Sie im Azure-Portal Ihren Microsoft Sentinel-Arbeitsbereich auf.
Wählen Sie in der linken Navigationsleiste unter Einstellungen die Option Zugriffssteuerung (IAM) aus.
Klicken Sie auf + Hinzufügen> Rollenzuweisung hinzufügen.
Suchen Sie auf dem Tab Rolle nach Microsoft Sentinel Responder und wählen Sie die Rolle aus:
- Alternative: Wenn das Playbook nur Warnungen liest, verwenden Sie die Rolle Microsoft Sentinel Reader.
Klicken Sie auf Weiter.
Konfigurieren Sie auf dem Tab Mitglieder Folgendes:
1. Zugriff zuweisen an: Wählen Sie Verwaltete Identität aus.
2. Klicken Sie auf + Mitglieder auswählen.
3. Wählen Sie in der Liste Verwaltete Identität die Option Logic App aus.
4. Wählen Sie Ihre Logic App für Benachrichtigungen (Sentinel-Alerts-to-SecOps) aus der Liste aus.
Klicken Sie auf Auswählen.
Klicken Sie auf Überprüfen und zuweisen.
Klicken Sie zur Bestätigung noch einmal auf Überprüfen und zuweisen.

Berechtigung 2: Microsoft Sentinel-Automatisierungsberechtigungen für die Ressourcengruppe für Benachrichtigungen erteilen

Für Microsoft Sentinel ist die Rolle Microsoft Sentinel Automation Contributor (Microsoft Sentinel-Automatisierungsbeitragender) für die Ressourcengruppe erforderlich, die die Logic App für Warnungen enthält.

Automatisierungsberechtigungen über die Sentinel-Benutzeroberfläche erteilen

Rufen Sie im Azure-Portal Ihren Microsoft Sentinel-Arbeitsbereich auf.
Öffnen Sie die Einstellungen>Automatisierung.
Klicken Sie oben auf der Seite auf Playbook-Berechtigungen verwalten.
Konfigurieren Sie im Bereich Berechtigungen verwalten Folgendes:
1. Wählen Sie die Ressourcengruppe aus, die Ihre Logic App für Benachrichtigungen enthält (Sentinel-Alerts-to-SecOps).
  - Wenn es sich um dieselbe Ressourcengruppe wie die Logic App für Vorfälle handelt, ist sie möglicherweise bereits ausgewählt.
Klicken Sie auf Übernehmen.

Hinweis :Wenn die Ressourcengruppe bereits für die Logic App für Vorfälle konfiguriert wurde, werden mit diesem Schritt dieselben Berechtigungen für die Logic App für Benachrichtigungen gewährt.

Automatisierungsberechtigungen für die Logic App für Benachrichtigungen prüfen (optional)

Rufen Sie im Azure-Portal die Ressourcengruppe auf, die Ihre Logic App für Benachrichtigungen enthält.
Wählen Sie links im Navigationsbereich Zugriffssteuerung (IAM) aus.
Klicken Sie auf Rollenzuweisungen.
Suchen Sie nach Azure Security Insights.
Prüfen Sie, ob Azure Security Insights die Rolle Microsoft Sentinel Automation Contributor hat.

Automatisierungsregeln für Microsoft Sentinel konfigurieren

Automatisierungsregeln lösen Logic Apps aus, wenn Vorfälle in Microsoft Sentinel erstellt oder aktualisiert werden.

Automatisierungsregel für die Erstellung von Vorfällen erstellen

Rufen Sie Ihren Microsoft Sentinel-Arbeitsbereich auf.
Klicken Sie auf Konfiguration > Automatisierung.
Klicken Sie auf Erstellen.
Wählen Sie Automatisierungsregel aus.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Name: Geben Sie einen Namen für die Automatisierungsregel ein, z. B. Send New Incidents to SecOps.
- Trigger: Wählen Sie Wenn ein Vorfall erstellt wird aus.
- Aktionen: Wählen Sie Playbook ausführen aus der Liste aus.
- Wählen Sie die für Vorfälle erstellte Logic App aus (Sentinel-Incidents-to-SecOps).
Klicken Sie auf Übernehmen.

Automatisierungsregel für Vorfallaktualisierungen erstellen

Rufen Sie Ihren Microsoft Sentinel-Arbeitsbereich auf.
Klicken Sie auf Konfiguration > Automatisierung.
Klicken Sie auf Erstellen.
Wählen Sie Automatisierungsregel aus.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Name: Geben Sie einen Namen für die Automatisierungsregel ein, z. B. Send Updated Incidents to SecOps.
- Trigger: Wählen Sie When incident is updated (Wenn Vorfall aktualisiert wird) aus.
- Bedingung: Klicken Sie auf Bedingung hinzufügen > „Und“-Bedingung > Status > Geändert.
Konfigurieren Sie im Abschnitt Aktionen Folgendes:
1. Wählen Sie in der Liste Playbook ausführen aus.
2. Wählen Sie die für Vorfälle erstellte Logic App aus (Sentinel-Incidents-to-SecOps).
Klicken Sie auf Übernehmen.

Automatisierungsregel für Benachrichtigungen erstellen

Rufen Sie Ihren Microsoft Sentinel-Arbeitsbereich auf.
Klicken Sie auf Konfiguration > Automatisierung.
Klicken Sie auf Erstellen.
Wählen Sie Automatisierungsregel aus.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Name: Geben Sie einen Namen für die Automatisierungsregel ein, z. B. Send Alerts to SecOps.
- Trigger: Wählen Sie Wenn Benachrichtigung erstellt wird aus.
- Aktionen: Wählen Sie Playbook ausführen aus der Liste aus.
- Wählen Sie die für Benachrichtigungen erstellte Logic App aus (Sentinel-Alerts-to-SecOps).
Klicken Sie auf Übernehmen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten