支持从Azure到QRadar的事件

Question

来自Azure的资源日志(这是平台日志的一部分)是否在QRadar中得到了支持，还是我们需要为订阅中的每种资源类型构建一个自定义解析器？

我阅读了QRadar的DSM文档，它提到了平台活动日志，但没有提到资源日志。让我们举一个例子，从Azure部署中获取网关日志、websocket连接日志、请求日志等。QRadar支持的所有资源日志是否都要从事件中心提取并集成到QRadar (QRadar支持的资源日志列表)？

Answer 1

如果我正确理解了您的问题，您希望将现有的解析器扩展到QR，而不必实现自定义属性。

为此，IBM发布了“用于Azure的IBM QRadar内容扩展”：https://exchange.xforce.ibmcloud.com/hub/extension/7a89f51852efa37de0809457ef1006dd

我建议安装另一个扩展插件"Microsoft Center Connected Assets & risk Connector“(https://exchange.xforce.ibmcloud.com/hub/extension/0dbfab6a22bca7add7a99fa19fdd426f)，它允许您通过ASC监视其他风险事件，并集成尚未解析到QR中的资产。

解决Azure日志数据问题的最佳方案可能是并行运行QR +哨兵，使用Azure Sentinel并为Azure特定资源打开数据连接器。这使您了解集成、数据解析和当前构建规则的最新情况。我们已经部署了这个场景，它是为选定的源(Exchange、Team、risk signins等)部署的。我们通过哨兵的建筑规则监视他们。随后，我们将它们集成到QR中。https://techcommunity.microsoft.com/t5/microsoft-sentinel-blog/azure-sentinel-side-by-side-with-qradar/ba-p/1488333。我们最终将日志存储在QRadar中，但是我们使用Sentinel特定的规则，然后将事件集成到QR中。

致以问候。