Integrace nástrojů SIEM s Microsoft Defender XDR
Platí pro:
Vyžádání incidentů V programu Microsoft Defender XDR a streamovaných dat událostí pomocí nástrojů pro správu událostí a informací zabezpečení (SIEM)
Poznámka
- Incidenty XDR v programu Microsoft Defender se skládají z kolekcí korelovaných výstrah a jejich důkazů.
- Rozhraní API pro streamování XDR v programu Microsoft Defender streamuje data událostí z Microsoft Defenderu XDR do center událostí nebo účtů úložiště Azure.
Microsoft Defender XDR podporuje nástroje pro správu událostí (SIEM) pro ingestování informací z podnikového tenanta v ID Microsoft Entra pomocí ověřovacího protokolu OAuth 2.0 pro zaregistrovanou aplikaci Microsoft Entra představující konkrétní řešení nebo konektor SIEM nainstalovaný ve vašem prostředí.
Další informace najdete tady:
- Licence a podmínky použití rozhraní API programu Microsoft Defender XDR
- Přístup k rozhraníM API XDR programu Microsoft Defender
- Příklad Hello World
- Získání přístupu pomocí kontextu aplikace
K ingestování informací o zabezpečení existují dva primární modely:
Ingestování incidentů XDR v programu Microsoft Defender a jejich obsažených výstrah z rozhraní REST API v Azure
Ingestování streamovaných dat událostí prostřednictvím služby Azure Event Hubs nebo účtů Azure Storage.
Microsoft Defender XDR v současné době podporuje následující integrace řešení SIEM:
- Ingestování incidentů z rozhraní REST API incidentů
- Ingestování streamovaných dat událostí prostřednictvím služby Event Hubs
Ingestování incidentů z rozhraní REST API incidentů
Schéma incidentu
Další informace o vlastnostech incidentu XDR v programu Microsoft Defender, včetně metadat entit výstrah a důkazů, najdete v tématu Mapování schématu.
Splunk
Pomocí nového plně podporovaného doplňku Splunk pro zabezpečení Microsoftu, který podporuje:
Ingestování incidentů, které obsahují výstrahy z následujících produktů, které jsou mapovány na model CIM (Common Information Model) společnosti Splunk:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity a Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
Ingestování upozornění Defenderu for Endpoint (z koncového bodu Azure Defenderu for Endpoint) a aktualizace těchto upozornění
Podpora aktualizace incidentů XDR v programu Microsoft Defender a upozornění microsoft defenderu for Endpoint a příslušných řídicích panelů se přesunula do aplikace Microsoft 365 pro Splunk.
Další informace o:
Doplněk Splunk pro zabezpečení Microsoftu, viz Doplněk zabezpečení Microsoftu na splunkbase.
Aplikace Microsoft 365 pro Splunk, viz Aplikace Microsoft 365 na Splunkbase.
Micro Focus ArcSight
Nový SmartConnector pro Microsoft Defender XDR ingestuje incidenty do ArcSightu a mapuje je do své společné architektury událostí (CEF).
Další informace o novém arcSight SmartConnectoru pro Microsoft Defender XDR najdete v dokumentaci k produktu ArcSight.
SmartConnector nahrazuje předchozí FlexConnector pro Microsoft Defender for Endpoint, který je teď vyřazený.
Elastický
Elastic Security v jednom řešení kombinuje funkce detekce hrozeb SIEM s funkcemi prevence a reakce koncových bodů. Elastická integrace pro Microsoft Defender XDR a Defender for Endpoint umožňuje organizacím využívat incidenty a výstrahy z Defenderu v rámci Elastic Security k provádění šetření a reakce na incidenty. Elastic koreluje tato data s dalšími zdroji dat, včetně cloudových, síťových a koncových bodů, pomocí robustních pravidel detekce, která umožňují rychle najít hrozby. Další informace o elastickém konektoru najdete tady: Microsoft M365 Defender | Elastické dokumenty
Ingestování streamovaných dat událostí prostřednictvím služby Event Hubs
Nejprve je potřeba streamovat události z tenanta Microsoft Entra do služby Event Hubs nebo účtu služby Azure Storage. Další informace najdete v tématu Rozhraní API pro streamování.
Další informace o typech událostí podporovaných rozhraním API pro streamování najdete v tématu Podporované typy událostí streamování.
Splunk
K ingestování událostí ze služby Azure Event Hubs použijte doplněk Splunk pro Microsoft Cloud Services.
Další informace o doplňku Splunk pro Microsoft Cloud Services najdete v doplňku Microsoft Cloud Services na webu Splunkbase.
IBM QRadar
Použijte nový modul podpory zařízení (DSM) microsoft defenderu MICROSOFT QRadar, který volá rozhraní API pro streamování microsoft defenderu XDR , které umožňuje ingestovat streamovaná data událostí z produktů Microsoft Defender XDR prostřednictvím služby Event Hubs nebo účtu úložiště Azure. Další informace o podporovaných typech událostí najdete v tématu Podporované typy událostí.
Elastický
Další informace o integraci rozhraní API pro elastické streamování najdete v tématu Microsoft M365 Defender | Elastické dokumenty.
Související články
Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro