Integrace nástrojů SIEM s Microsoft Defender XDR

Platí pro:

• Microsoft Defender for Endpoint
• Microsoft Defender XDR

Vyžádání incidentů V programu Microsoft Defender XDR a streamovaných dat událostí pomocí nástrojů pro správu událostí a informací zabezpečení (SIEM)

Poznámka

• Incidenty XDR v programu Microsoft Defender se skládají z kolekcí korelovaných výstrah a jejich důkazů.
• Rozhraní API pro streamování XDR v programu Microsoft Defender streamuje data událostí z Microsoft Defenderu XDR do center událostí nebo účtů úložiště Azure.

Microsoft Defender XDR podporuje nástroje pro správu událostí (SIEM) pro ingestování informací z podnikového tenanta v ID Microsoft Entra pomocí ověřovacího protokolu OAuth 2.0 pro zaregistrovanou aplikaci Microsoft Entra představující konkrétní řešení nebo konektor SIEM nainstalovaný ve vašem prostředí.

Další informace najdete tady:

• Licence a podmínky použití rozhraní API programu Microsoft Defender XDR
• Přístup k rozhraníM API XDR programu Microsoft Defender
• Příklad Hello World
• Získání přístupu pomocí kontextu aplikace

K ingestování informací o zabezpečení existují dva primární modely:

1. Ingestování incidentů XDR v programu Microsoft Defender a jejich obsažených výstrah z rozhraní REST API v Azure

2. Ingestování streamovaných dat událostí prostřednictvím služby Azure Event Hubs nebo účtů Azure Storage.

Microsoft Defender XDR v současné době podporuje následující integrace řešení SIEM:

• Ingestování incidentů z rozhraní REST API incidentů
• Ingestování streamovaných dat událostí prostřednictvím služby Event Hubs

Ingestování incidentů z rozhraní REST API incidentů

Schéma incidentu

Další informace o vlastnostech incidentu XDR v programu Microsoft Defender, včetně metadat entit výstrah a důkazů, najdete v tématu Mapování schématu.

Splunk

Pomocí nového plně podporovaného doplňku Splunk pro zabezpečení Microsoftu, který podporuje:

• Ingestování incidentů, které obsahují výstrahy z následujících produktů, které jsou mapovány na model CIM (Common Information Model) společnosti Splunk:

  • Microsoft Defender XDR
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity a Microsoft Entra ID Protection
  • Microsoft Defender for Cloud Apps

• Ingestování upozornění Defenderu for Endpoint (z koncového bodu Azure Defenderu for Endpoint) a aktualizace těchto upozornění

• Podpora aktualizace incidentů XDR v programu Microsoft Defender a upozornění microsoft defenderu for Endpoint a příslušných řídicích panelů se přesunula do aplikace Microsoft 365 pro Splunk.

Další informace o:

• Doplněk Splunk pro zabezpečení Microsoftu, viz Doplněk zabezpečení Microsoftu na splunkbase.

• Aplikace Microsoft 365 pro Splunk, viz Aplikace Microsoft 365 na Splunkbase.

Micro Focus ArcSight

Nový SmartConnector pro Microsoft Defender XDR ingestuje incidenty do ArcSightu a mapuje je do své společné architektury událostí (CEF).

Další informace o novém arcSight SmartConnectoru pro Microsoft Defender XDR najdete v dokumentaci k produktu ArcSight.

SmartConnector nahrazuje předchozí FlexConnector pro Microsoft Defender for Endpoint, který je teď vyřazený.

Elastický

Elastic Security v jednom řešení kombinuje funkce detekce hrozeb SIEM s funkcemi prevence a reakce koncových bodů. Elastická integrace pro Microsoft Defender XDR a Defender for Endpoint umožňuje organizacím využívat incidenty a výstrahy z Defenderu v rámci Elastic Security k provádění šetření a reakce na incidenty. Elastic koreluje tato data s dalšími zdroji dat, včetně cloudových, síťových a koncových bodů, pomocí robustních pravidel detekce, která umožňují rychle najít hrozby. Další informace o elastickém konektoru najdete tady: Microsoft M365 Defender | Elastické dokumenty

Ingestování streamovaných dat událostí prostřednictvím služby Event Hubs

Nejprve je potřeba streamovat události z tenanta Microsoft Entra do služby Event Hubs nebo účtu služby Azure Storage. Další informace najdete v tématu Rozhraní API pro streamování.

Další informace o typech událostí podporovaných rozhraním API pro streamování najdete v tématu Podporované typy událostí streamování.

Splunk

K ingestování událostí ze služby Azure Event Hubs použijte doplněk Splunk pro Microsoft Cloud Services.

Další informace o doplňku Splunk pro Microsoft Cloud Services najdete v doplňku Microsoft Cloud Services na webu Splunkbase.

IBM QRadar

Použijte nový modul podpory zařízení (DSM) microsoft defenderu MICROSOFT QRadar, který volá rozhraní API pro streamování microsoft defenderu XDR , které umožňuje ingestovat streamovaná data událostí z produktů Microsoft Defender XDR prostřednictvím služby Event Hubs nebo účtu úložiště Azure. Další informace o podporovaných typech událostí najdete v tématu Podporované typy událostí.

Elastický

Další informace o integraci rozhraní API pro elastické streamování najdete v tématu Microsoft M365 Defender | Elastické dokumenty.

Související články

Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.