Integrace nástrojů SIEM s Microsoft Defender XDR
Platí pro:
Poznámka
Vyzkoušejte naše nová rozhraní API s využitím rozhraní MS Graph Security API. Další informace najdete v tématu : Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn.
Vyžádané Microsoft Defender XDR incidenty a streamovaná data událostí pomocí nástrojů pro správu událostí a informací o zabezpečení (SIEM)
Poznámka
- Microsoft Defender XDR Incidenty se skládají z kolekcí korelačních výstrah a jejich důkazů.
- rozhraní API pro streamování Microsoft Defender XDR streamuje data událostí z Microsoft Defender XDR do center událostí nebo účtů úložiště Azure.
Microsoft Defender XDR podporuje nástroje pro správu událostí a informací zabezpečení (SIEM), které ingestují informace z podnikového tenanta v Microsoft Entra ID pomocí ověřovacího protokolu OAuth 2.0 pro zaregistrovanou aplikaci Microsoft Entra představující konkrétní řešení nebo konektor SIEM nainstalovaný ve vašem počítači. Prostředí.
Další informace najdete tady:
- licence a podmínky použití rozhraní API Microsoft Defender XDR
- Přístup k rozhraním API Microsoft Defender XDR
- Příklad Hello World
- Získání přístupu pomocí kontextu aplikace
K ingestování informací o zabezpečení existují dva primární modely:
Ingestování Microsoft Defender XDR incidentů a jejich obsažených výstrah z rozhraní REST API v Azure
Ingestování streamovaných dat událostí prostřednictvím Azure Event Hubs nebo účtů Azure Storage.
Microsoft Defender XDR aktuálně podporuje následující integrace řešení SIEM:
- Ingestování incidentů z rozhraní REST API incidentů
- Příjem streamovaných dat událostí prostřednictvím centra událostí
Ingestování incidentů z rozhraní REST API incidentů
Schéma incidentu
Další informace o Microsoft Defender XDR vlastnostech incidentu, včetně metadat entit výstrah a důkazů, najdete v tématu Mapování schématu.
Splunk
Pomocí nového plně podporovaného doplňku Splunk pro zabezpečení Microsoftu, který podporuje:
Ingestování incidentů, které obsahují výstrahy z následujících produktů, které jsou mapovány na model CIM (Common Information Model) společnosti Splunk:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity a Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
Ingestování upozornění Defenderu for Endpoint (z koncového bodu Azure Defenderu for Endpoint) a aktualizace těchto upozornění
Podpora aktualizace Microsoft Defender XDR incidentů nebo Microsoft Defender for Endpoint upozornění a příslušných řídicích panelů byla přesunuta do aplikace Microsoft 365 pro Splunk.
Další informace o:
Doplněk Splunk pro zabezpečení Microsoftu, viz Doplněk zabezpečení Microsoftu na splunkbase.
Aplikace Microsoft 365 pro Splunk, viz Aplikace Microsoft 365 na Splunkbase.
Micro Focus ArcSight
Nový SmartConnector pro Microsoft Defender XDR ingestuje incidenty do ArcSightu a mapuje je do své společné architektury událostí (CEF).
Další informace o novém konektoru ArcSight SmartConnector pro Microsoft Defender XDR najdete v dokumentaci k produktu ArcSight.
SmartConnector nahrazuje předchozí FlexConnector pro Microsoft Defender for Endpoint, který je zastaralý.
Elastické
Elastic Security v jednom řešení kombinuje funkce detekce hrozeb SIEM s funkcemi prevence a reakce koncových bodů. Elastická integrace pro Microsoft Defender XDR a Defender for Endpoint umožňuje organizacím využívat incidenty a výstrahy z Defenderu v rámci Elastic Security k provádění šetření a reakce na incidenty. Elastic koreluje tato data s dalšími zdroji dat, včetně cloudových, síťových a koncových bodů, pomocí robustních pravidel detekce, která umožňují rychle najít hrozby. Další informace o elastickém konektoru najdete tady: Microsoft M365 Defender | Elastické dokumenty
Ingestování streamovaných dat událostí prostřednictvím služby Event Hubs
Nejprve musíte streamovat události z tenanta Microsoft Entra do služby Event Hubs nebo účtu služby Azure Storage. Další informace najdete v tématu Rozhraní API pro streamování.
Další informace o typech událostí podporovaných rozhraním API pro streamování najdete v tématu Podporované typy událostí streamování.
Splunk
K ingestování událostí z Azure Event Hubs použijte doplněk Splunk pro Microsoft Cloud Services.
Další informace o doplňku Splunk pro Microsoft Cloud Services najdete v doplňku Microsoft Cloud Services na webu Splunkbase.
IBM QRadar
Použijte nový modul podpory zařízení (DSM) IBM QRadar Microsoft Defender XDR, který volá rozhraní API pro streamování Microsoft Defender XDR, které umožňuje ingestovat streamovaná data událostí z produktů Microsoft Defender XDR prostřednictvím služby Event Hubs nebo účtu služby Azure Storage. Další informace o podporovaných typech událostí najdete v tématu Podporované typy událostí.
Elastické
Další informace o integraci rozhraní API pro elastické streamování najdete v tématu Microsoft M365 Defender | Elastické dokumenty.
Související články
Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro