Integrace nástrojů SIEM s Microsoft 365 Defender
Platí pro:
Poznámka
Vyzkoušejte naše nová rozhraní API s využitím rozhraní MS Graph Security API. Další informace najdete v tématu : Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn.
Vyžádané Microsoft 365 Defender incidenty a streamovaná data událostí pomocí nástrojů pro správu událostí a informací o zabezpečení (SIEM)
Poznámka
- Microsoft 365 Defender Incidenty se skládají z kolekcí korelovaných výstrah a jejich důkazů.
- rozhraní API pro streamování Microsoft 365 Defender streamuje data událostí z Microsoft 365 Defender do center událostí nebo účtů úložiště Azure.
Microsoft 365 Defender podporuje nástroje pro správu událostí a informací zabezpečení (SIEM), které ingestují informace z podnikového tenanta v Azure Active Directory (AAD) pomocí ověřovacího protokolu OAuth 2.0 pro zaregistrovanou aplikaci AAD představující konkrétní řešení nebo konektor SIEM nainstalovaný ve vašem prostředí.
Další informace najdete tady:
- licence a podmínky použití rozhraní MICROSOFT 365 DEFENDER API
- Přístup k rozhraním API Microsoft 365 Defender
- Příklad Hello World
- Získání přístupu pomocí kontextu aplikace
K ingestování informací o zabezpečení existují dva primární modely:
Ingestování Microsoft 365 Defender incidentů a jejich obsažených výstrah z rozhraní REST API v Azure
Ingestování streamovaných dat událostí prostřednictvím Azure Event Hubs nebo účtů Azure Storage.
Microsoft 365 Defender aktuálně podporuje následující integrace řešení SIEM:
- Ingestování incidentů z rozhraní REST API incidentů
- Příjem streamovaných dat událostí prostřednictvím centra událostí
Ingestování incidentů z rozhraní REST API incidentů
Schéma incidentu
Další informace o Microsoft 365 Defender vlastnostech incidentu, včetně metadat entit výstrah a důkazů, najdete v tématu Mapování schématu.
Splunk
Pomocí nového plně podporovaného doplňku Splunk pro zabezpečení Microsoftu, který podporuje:
Ingestování incidentů, které obsahují výstrahy z následujících produktů, které jsou mapovány na model CIM (Common Information Model) společnosti Splunk:
- Microsoft 365 Defender
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity a Azure Active Directory Identity Protection
- Microsoft Defender for Cloud Apps
Ingestování upozornění Defenderu for Endpoint (z koncového bodu Azure Defenderu for Endpoint) a aktualizace těchto upozornění
Podpora aktualizace Microsoft 365 Defender incidentů nebo Microsoft Defender for Endpoint upozornění a příslušných řídicích panelů byla přesunuta do aplikace Microsoft 365 pro Splunk.
Další informace o:
Doplněk Splunk pro zabezpečení Microsoftu, podívejte se na doplněk Zabezpečení Microsoftu na splunkbase.
Aplikace Microsoft 365 pro Splunk, viz Aplikace Microsoft 365 na Splunkbase.
Micro Focus ArcSight
Nový SmartConnector pro Microsoft 365 Defender ingestuje incidenty do ArcSightu a mapuje je do své společné architektury událostí (CEF).
Další informace o novém konektoru ArcSight SmartConnector pro Microsoft 365 Defender najdete v dokumentaci k produktu ArcSight.
SmartConnector nahrazuje předchozí FlexConnector pro Microsoft Defender for Endpoint, který je zastaralý.
Elastické
Elastic Security v jednom řešení kombinuje funkce detekce hrozeb SIEM s funkcemi prevence a reakce koncových bodů. Elastická integrace pro Microsoft 365 Defender a Defender for Endpoint umožňuje organizacím využívat incidenty a výstrahy z Defenderu v rámci Elastic Security k provádění šetření a reakce na incidenty. Elastic koreluje tato data s dalšími zdroji dat, včetně cloudových, síťových a koncových bodů, pomocí robustních pravidel detekce, která umožňují rychle najít hrozby. Další informace o elastickém konektoru najdete tady: Microsoft M365 Defender | Elastické dokumenty
Ingestování streamovaných dat událostí prostřednictvím služby Event Hubs
Nejprve musíte streamovat události z tenanta Azure AD do služby Event Hubs nebo účtu služby Azure Storage. Další informace najdete v tématu Rozhraní API pro streamování.
Další informace o typech událostí podporovaných rozhraním API pro streamování najdete v tématu Podporované typy událostí streamování.
Splunk
K ingestování událostí z Azure Event Hubs použijte doplněk Splunk pro Microsoft Cloud Services.
Další informace o doplňku Splunk pro Microsoft Cloud Services najdete v doplňku Microsoft Cloud Services na webu Splunkbase.
IBM QRadar
Použijte nový modul podpory zařízení (DSM) IBM QRadar Microsoft 365 Defender, který volá rozhraní API pro streamování Microsoft 365 Defender, které umožňuje ingestovat streamovaná data událostí z Microsoft 365 Defender produktů prostřednictvím služby Event Hubs nebo účtu služby Azure Storage. Další informace o podporovaných typech událostí najdete v tématu Podporované typy událostí.
Elastické
Další informace o integraci rozhraní API pro elastické streamování najdete v tématu Microsoft M365 Defender | Elastické dokumenty.
Související články
Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn