Integrer dine SIEM-værktøjer med Microsoft Defender XDR
Gælder for:
Træk Microsoft Defender XDR-hændelser og streaming af hændelsesdata ved hjælp af SIEM-værktøjer (Security Information and Events Management)
Bemærk!
- Microsoft Defender XDR Incidents består af samlinger af korrelerede beskeder og deres beviser.
- Microsoft Defender XDR-streaming-API streamer hændelsesdata fra Microsoft Defender XDR til hændelseshubber eller Azure Storage-konti.
Microsoft Defender XDR understøtter SIEM-værktøjer (security information and event management) til hentning af oplysninger fra din virksomhedslejer i Microsoft Entra-id ved hjælp af OAuth 2.0-godkendelsesprotokollen for et registreret Microsoft Entra-program, der repræsenterer den specifikke SIEM-løsning eller -connector, der er installeret i dit miljø.
Du kan finde flere oplysninger under:
- Licens og vilkår for anvendelse af Microsoft Defender XDR-API'er
- Få adgang til Microsoft Defender XDR-API'er
- Hello World eksempel
- Få adgang med programkontekst
Der er to primære modeller til at overføre sikkerhedsoplysninger:
Indtagelse af Microsoft Defender XDR-hændelser og deres indeholdte beskeder fra en REST API i Azure.
Indtagelse af streaminghændelsesdata enten via Azure Event Hubs eller Azure Storage-konti.
Microsoft Defender XDR understøtter i øjeblikket følgende SIEM-løsningsintegrationer:
- Indtagelse af hændelser fra HÆNDELSERNE REST API
- Indtagelse af streaminghændelsesdata via Event Hubs
Indtagelse af hændelser fra HÆNDELSERNE REST API
Hændelsesskema
Du kan få flere oplysninger om Egenskaber for XDR-hændelser i Microsoft Defender, herunder indeholdte metadata for beskeder og beviserobjekter, under Skematilknytning.
Splunk
Brug af det nye fuldt understøttede Splunk-tilføjelsesprogram til Microsoft Security, der understøtter:
Indtagelse af hændelser, der indeholder beskeder fra følgende produkter, som er knyttet til Splunks CIM (Common Information Model):
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity og Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
Indtagelse af defender for endpoint-beskeder (fra Azure-slutpunktet for Defender for Endpoint) og opdatering af disse beskeder
Understøttelse af opdatering af Microsoft Defender XDR-hændelser og/eller Microsoft Defender for Endpoint Alerts, og de respektive dashboards er flyttet til Microsoft 365 App for Splunk.
Du kan få flere oplysninger om:
Tilføjelsesprogrammet Splunk til Microsoft Security finder du i Microsoft Security-tilføjelsesprogrammet på Splunkbase
Microsoft 365-appen til Splunk, se Microsoft 365-appen på Splunkbase
Micro Focus ArcSight
Den nye SmartConnector til Microsoft Defender XDR-indfødningshændelser i ArcSight og knytter disse til CEF (Common Event Framework).
Du kan få flere oplysninger om den nye ArcSight SmartConnector til Microsoft Defender XDR i ArcSight-produktdokumentation.
SmartConnector erstatter den tidligere FlexConnector for Microsoft Defender for Endpoint, der nu er udgået.
Elastisk
Elastisk sikkerhed kombinerer FUNKTIONER til SIEM-trusselsregistrering med slutpunktsforebyggende og svarfunktioner i én løsning. Den elastiske integration til Microsoft Defender XDR og Defender for Endpoint gør det muligt for organisationer at udnytte hændelser og beskeder fra Defender i Elastic Security til at udføre undersøgelser og svar på hændelser. Elastisk korrelerer disse data med andre datakilder, herunder kilder i cloudmiljøet, netværket og slutpunktet, ved hjælp af robuste regler for registrering for hurtigt at finde trusler. Du kan få flere oplysninger om Elastic Connector under: Microsoft M365 Defender | Elastisk dokumentation
Indtagelse af streaminghændelsesdata via Event Hubs
Først skal du streame begivenheder fra din Microsoft Entra-lejer til din Event Hubs eller Azure Storage-konto. Du kan få flere oplysninger under Streaming-API.
Du kan få flere oplysninger om de hændelsestyper, der understøttes af Streaming-API'en, under Understøttede streaminghændelsestyper.
Splunk
Brug Splunk-tilføjelsesprogrammet til Microsoft Cloud Services til at indtage hændelser fra Azure Event Hubs.
Du kan få flere oplysninger om tilføjelsesprogrammet Splunk til Microsoft Cloud Services i tilføjelsesprogrammet Microsoft Cloud Services på Splunkbase.
IBM QRadar
Brug den nye IBM QRadar Microsoft Defender XDR Device Support Module (DSM), der kalder Microsoft Defender XDR Streaming API , der gør det muligt at indtage streaminghændelsesdata fra Microsoft Defender XDR-produkter via Event Hubs eller Azure Storage-konto. Du kan få flere oplysninger om understøttede hændelsestyper under Understøttede hændelsestyper.
Elastisk
Du kan få flere oplysninger om elastic streaming-API-integration under Microsoft M365 Defender | Elastisk dokumentation.
Relaterede artikler
Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.