如何在将在Event Hub中收集的数据发送到外部SIEM解决方案之前进行过滤

Question

我的一个客户正在尝试将IBM QRADAR SIEM与Azure集成。他们希望将来自各种来源的所有数据发送到Event Hub，这些数据将与Azure AD、Azure VM、Key Vault等相关。

但是我的客户只想从Event Hub发送与安全相关的数据，并丢弃所有其他数据，然后只将与安全相关的数据发送到IBM QRADAR。从Event Hub中过滤此数据的方法是什么，以便SIEM解决方案不会获得太多与安全无关的数据，从而导致系统阻塞。

Answer 1

您可以考虑仅在Azure Stream Analytics作业上查询与安全相关的事件，并将这些事件转发给QRadar可以读取的另一个eventhub。

有关ASA集成的更多信息，请单击此处- https://docs.microsoft.com/en-us/azure/event-hubs/process-data-azure-stream-analytics