مشاركة عبر

ادمج أدوات إدارة معلومات الأمان والأحداث مع Microsoft Defender XDR

  • مقالة

ينطبق على:

سحب حوادث Microsoft Defender XDR وتدفق بيانات الأحداث باستخدام أدوات إدارة معلومات الأمان والأحداث (SIEM)

ملاحظة

يدعم Microsoft Defender XDR أدوات إدارة معلومات الأمان وإدارة الأحداث (SIEM) لاستيعاب المعلومات من مستأجر المؤسسة في Microsoft Entra ID باستخدام بروتوكول مصادقة OAuth 2.0 لتطبيق Microsoft Entra مسجل يمثل حل SIEM المحدد أو الموصل المثبت في بيئتك.

لمزيد من المعلومات، اطلع على:

هناك نموذجان أساسيان لاستيعاب معلومات الأمان:

  1. استيعاب حوادث Microsoft Defender XDR والتنبيهات المضمنة من واجهة برمجة تطبيقات REST في Azure.

  2. استيعاب بيانات الأحداث المتدفقة إما من خلال مراكز أحداث Azure أو حسابات تخزين Azure.

يدعم Microsoft Defender XDR حاليا عمليات تكامل حل SIEM التالية:

استيعاب الحوادث من واجهة برمجة تطبيقات REST للحوادث

مخطط الحادث

لمزيد من المعلومات حول خصائص حادث Microsoft Defender XDR بما في ذلك بيانات تعريف كيانات التنبيه والأدلة المضمنة، راجع تعيين المخطط.

Splunk

استخدام المكون الإضافي Splunk الجديد المدعوم بالكامل لأمان Microsoft الذي يدعم:

  • استيعاب الحوادث التي تحتوي على تنبيهات من المنتجات التالية، والتي تم تعيينها إلى نموذج المعلومات الشائعة (CIM) الخاص ب Splunk:

    • Microsoft Defender XDR
    • Microsoft Defender for Endpoint
    • Microsoft Defender for Identity وMicrosoft Entra ID Protection
    • Microsoft Defender for Cloud Apps

  • استيعاب تنبيهات Defender لنقطة النهاية (من نقطة نهاية Azure ل Defender لنقطة النهاية) وتحديث هذه التنبيهات

  • تم نقل دعم تحديث حوادث Microsoft Defender XDR و/أو Microsoft Defender لتنبيهات نقطة النهاية ولوحات المعلومات المعنية إلى تطبيق Microsoft 365 ل Splunk.

لمزيد من المعلومات حول:

Micro Focus ArcSight

يدمج SmartConnector الجديد ل Microsoft Defender XDR الحوادث في ArcSight ويحولها إلى إطار عمل الحدث المشترك (CEF).

لمزيد من المعلومات حول ArcSight SmartConnector الجديد ل Microsoft Defender XDR، راجع وثائق منتج ArcSight.

يحل SmartConnector محل FlexConnector السابق ل Microsoft Defender لنقطة النهاية التي تم إيقافها الآن.

مطاط

يجمع Elastic Security بين ميزات الكشف عن تهديدات SIEM وقدرات منع نقطة النهاية والاستجابة لها في حل واحد. يتيح التكامل المرن ل Microsoft Defender XDR وDefender لنقطة النهاية للمؤسسات الاستفادة من الحوادث والتنبيهات من Defender داخل Elastic Security لإجراء التحقيقات والاستجابة للحوادث. تربط Elastic هذه البيانات بمصادر البيانات الأخرى، بما في ذلك مصادر السحابة والشبكة ونقطة النهاية باستخدام قواعد الكشف القوية للعثور على التهديدات بسرعة. لمزيد من المعلومات حول موصل Elastic، راجع: Microsoft M365 Defender | مستندات مرنة

استيعاب بيانات الأحداث المتدفقة عبر مراكز الأحداث

تحتاج أولا إلى دفق الأحداث من مستأجر Microsoft Entra إلى مراكز الأحداث أو حساب تخزين Azure. لمزيد من المعلومات، راجع Streaming API.

لمزيد من المعلومات حول أنواع الأحداث التي تدعمها واجهة برمجة تطبيقات البث، راجع أنواع أحداث الدفق المدعومة.

Splunk

استخدم المكون الإضافي Splunk لخدمات Microsoft السحابية لاستيعاب الأحداث من Azure Event Hubs.

لمزيد من المعلومات حول المكون الإضافي Splunk لخدمات Microsoft السحابية، راجع المكون الإضافي لخدمات السحابة من Microsoft على Splunkbase.

IBM QRadar

استخدم وحدة دعم جهاز IBM QRadar Microsoft Defender XDR الجديدة (DSM) التي تستدعي واجهة برمجة تطبيقات دفق Microsoft Defender XDR التي تسمح باستيعاب بيانات الحدث المتدفقة من منتجات Microsoft Defender XDR عبر مراكز الأحداث أو حساب تخزين Azure. لمزيد من المعلومات حول أنواع الأحداث المدعومة، راجع أنواع الأحداث المدعومة.

مطاط

لمزيد من المعلومات حول تكامل Elastic streaming API، راجع Microsoft M365 Defender | مستندات مرنة.

استخدام واجهة برمجة تطبيقات أمان Microsoft Graph - Microsoft Graph | Microsoft Learn

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.