Integrer dine SIEM-værktøjer med Microsoft Defender XDR
Gælder for:
Bemærk!
Prøv vores nye API'er ved hjælp af MS Graph-sikkerheds-API'en. Få mere at vide på: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn.
Træk Microsoft Defender XDR hændelser og streaming af hændelsesdata ved hjælp af SIEM-værktøjer (Security Information And Events Management)
Bemærk!
- Microsoft Defender XDR Hændelser består af samlinger af korrelerede beskeder og deres beviser.
- Microsoft Defender XDR Streaming API streamer hændelsesdata fra Microsoft Defender XDR til hændelseshubber eller Azure Storage-konti.
Microsoft Defender XDR understøtter SIEM-værktøjer (security information and event management) til hentning af oplysninger fra din virksomhedslejer i Microsoft Entra ID ved hjælp af OAuth 2.0-godkendelsesprotokollen for et registreret Microsoft Entra program, der repræsenterer den specifikke SIEM-løsning eller -connector, der er installeret i din Miljø.
Du kan finde flere oplysninger under:
- licens til Microsoft Defender XDR API'er og vilkår for anvendelse
- Få adgang til de Microsoft Defender XDR API'er
- Hello World eksempel
- Få adgang med programkontekst
Der er to primære modeller til at overføre sikkerhedsoplysninger:
Indtagelse af Microsoft Defender XDR hændelser og deres indeholdte beskeder fra en REST API i Azure.
Indtagelse af streaminghændelsesdata enten via Azure Event Hubs eller Azure Storage-konti.
Microsoft Defender XDR understøtter i øjeblikket følgende SIEM-løsningsintegrationer:
Indtagelse af hændelser fra HÆNDELSERNE REST API
Hændelsesskema
Du kan få flere oplysninger om Microsoft Defender XDR hændelsesegenskaber, herunder indeholdte metadata for besked- og bevisenheder, under Skematilknytning.
Splunk
Brug af det nye fuldt understøttede Splunk-tilføjelsesprogram til Microsoft Security, der understøtter:
Indtagelse af hændelser, der indeholder beskeder fra følgende produkter, som er knyttet til Splunks CIM (Common Information Model):
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity og Microsoft Entra ID-beskyttelse
- Microsoft Defender for Cloud Apps
Indtagelse af defender for endpoint-beskeder (fra Azure-slutpunktet for Defender for Endpoint) og opdatering af disse beskeder
Understøttelse af opdatering af Microsoft Defender XDR hændelser og/eller Microsoft Defender for Endpoint beskeder, og de respektive dashboards er blevet flyttet til Microsoft 365 App for Splunk.
Du kan få flere oplysninger om:
Tilføjelsesprogrammet Splunk til Microsoft Security finder du i Microsoft Security-tilføjelsesprogrammet på Splunkbase
Microsoft 365-appen til Splunk, se Microsoft 365-appen på Splunkbase
Micro Focus ArcSight
Den nye SmartConnector til Microsoft Defender XDR indfødningshændelser i ArcSight og knytter disse til CEF (Common Event Framework).
Du kan få flere oplysninger om den nye ArcSight SmartConnector til Microsoft Defender XDR i ArcSight-produktdokumentation.
SmartConnector erstatter den tidligere FlexConnector for Microsoft Defender for Endpoint, der er blevet udfaset.
Elastisk
Elastisk sikkerhed kombinerer FUNKTIONER til SIEM-trusselsregistrering med slutpunktsforebyggende og svarfunktioner i én løsning. Den elastiske integration for Microsoft Defender XDR og Defender for Endpoint gør det muligt for organisationer at udnytte hændelser og beskeder fra Defender i Elastic Security til at udføre undersøgelser og svar på hændelser. Elastisk korrelerer disse data med andre datakilder, herunder kilder i cloudmiljøet, netværket og slutpunktet, ved hjælp af robuste regler for registrering for hurtigt at finde trusler. Du kan få flere oplysninger om Elastic Connector under: Microsoft M365 Defender | Elastisk dokumentation
Indtagelse af streaminghændelsesdata via Event Hubs
Først skal du streame hændelser fra din Microsoft Entra lejer til din Event Hubs eller Azure Storage-konto. Du kan få flere oplysninger under Streaming-API.
Du kan få flere oplysninger om de hændelsestyper, der understøttes af Streaming-API'en, under Understøttede streaminghændelsestyper.
Splunk
Brug Splunk-tilføjelsesprogrammet til Microsoft Cloud Services til at indtage hændelser fra Azure Event Hubs.
Du kan få flere oplysninger om tilføjelsesprogrammet Splunk til Microsoft Cloud Services i Tilføjelsesprogrammet Microsoft Cloud Services på Splunkbase.
IBM QRadar
Brug den nye IBM QRadar Microsoft Defender XDR Device Support Module (DSM), der kalder Microsoft Defender XDR Streaming API, der gør det muligt at indtage streaminghændelsesdata fra Microsoft Defender XDR produkter via Event Hubs eller Azure Storage-konto. Du kan få flere oplysninger om understøttede hændelsestyper under Understøttede hændelsestyper.
Elastisk
Du kan få flere oplysninger om elastic streaming-API-integration under Microsoft M365 Defender | Elastisk dokumentation.
Relaterede artikler
Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om