Integrer dine SIEM-værktøjer med Microsoft 365 Defender

Gælder for:

• Microsoft Defender for Endpoint
• Microsoft 365 Defender

Bemærk!

Prøv vores nye API'er ved hjælp af MS Graph-sikkerheds-API'en. Få mere at vide på: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn.

Træk Microsoft 365 Defender hændelser og streaming af hændelsesdata ved hjælp af SIEM-værktøjer (Security Information Information and Events Management)

Bemærk!

• Microsoft 365 Defender Hændelser består af samlinger af korrelerede beskeder og deres beviser.
• Microsoft 365 Defender Streaming-API streamer hændelsesdata fra Microsoft 365 Defender til hændelseshubber eller Azure Storage-konti.

Microsoft 365 Defender understøtter SIEM-værktøjer (Security Information Information and Event Management) til hentning af oplysninger fra din virksomhedslejer i Azure Active Directory (AAD) ved hjælp af OAuth 2.0-godkendelsesprotokollen for et registreret AAD-program, der repræsenterer den specifikke SIEM-løsning eller -connector, der er installeret i dit miljø.

Du kan finde flere oplysninger under:

• licens til Microsoft 365 Defender API'er og vilkår for anvendelse
• Få adgang til de Microsoft 365 Defender API'er
• Hello World eksempel
• Få adgang med programkontekst

Der er to primære modeller til at overføre sikkerhedsoplysninger:

1. Indtagelse af Microsoft 365 Defender hændelser og deres indeholdte beskeder fra en REST API i Azure.

2. Indtagelse af streaminghændelsesdata enten via Azure Event Hubs eller Azure Storage-konti.

Microsoft 365 Defender understøtter i øjeblikket følgende SIEM-løsningsintegrationer:

• Indtagelse af hændelser fra HÆNDELSERNE REST API
• Indtagelse af streaminghændelsesdata via Event Hub

Indtagelse af hændelser fra HÆNDELSERNE REST API

Hændelsesskema

Du kan få flere oplysninger om Microsoft 365 Defender hændelsesegenskaber, herunder indeholdte metadata for besked- og bevisenheder, under Skematilknytning.

Splunk

Brug af det nye fuldt understøttede Splunk-tilføjelsesprogram til Microsoft Security, der understøtter:

• Indtagelse af hændelser, der indeholder beskeder fra følgende produkter, som er knyttet til Splunks CIM (Common Information Model):

  • Microsoft 365 Defender
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity og Azure Active Directory Identity Protection
  • Microsoft Defender for Cloud Apps

• Indtagelse af defender for endpoint-beskeder (fra Azure-slutpunktet for Defender for Endpoint) og opdatering af disse beskeder

• Understøttelse af opdatering af Microsoft 365 Defender hændelser og/eller Microsoft Defender for Endpoint beskeder, og de respektive dashboards er blevet flyttet til Microsoft 365 App for Splunk.

Du kan få flere oplysninger om:

• Tilføjelsesprogrammet Splunk til Microsoft Security finder du i Microsoft Security-tilføjelsesprogrammet på Splunkbase

• Microsoft 365-appen til Splunk, se Microsoft 365-appen på Splunkbase

Micro Focus ArcSight

Den nye SmartConnector til Microsoft 365 Defender indfødningshændelser i ArcSight og knytter disse til CEF (Common Event Framework).

Du kan få flere oplysninger om den nye ArcSight SmartConnector til Microsoft 365 Defender i ArcSight-produktdokumentationen.

SmartConnector erstatter den tidligere FlexConnector for Microsoft Defender for Endpoint, der er blevet udfaset.

Elastisk

Elastisk sikkerhed kombinerer FUNKTIONER til SIEM-trusselsregistrering med slutpunktsforebyggende og svarfunktioner i én løsning. Den elastiske integration for Microsoft 365 Defender og Defender for Endpoint gør det muligt for organisationer at udnytte hændelser og beskeder fra Defender i Elastic Security til at udføre undersøgelser og svar på hændelser. Elastisk korrelerer disse data med andre datakilder, herunder kilder i cloudmiljøet, netværket og slutpunktet, ved hjælp af robuste regler for registrering for hurtigt at finde trusler. Du kan få flere oplysninger om Elastic Connector under: Microsoft M365 Defender | Elastisk dokumentation

Indtagelse af streaminghændelsesdata via Event Hubs

Først skal du streame hændelser fra din Azure AD lejer til din Event Hubs eller Azure Storage-konto. Du kan få flere oplysninger under Streaming-API.

Du kan få flere oplysninger om de hændelsestyper, der understøttes af Streaming-API'en, under Understøttede streaminghændelsestyper.

Splunk

Brug Splunk-tilføjelsesprogrammet til Microsoft Cloud Services til at indtage hændelser fra Azure Event Hubs.

Du kan få flere oplysninger om tilføjelsesprogrammet Splunk til Microsoft Cloud Services i Tilføjelsesprogrammet Microsoft Cloud Services på Splunkbase.

IBM QRadar

Brug den nye IBM QRadar Microsoft 365 Defender Device Support Module (DSM), der kalder Microsoft 365 Defender Streaming API, der gør det muligt at indtage streaminghændelsesdata fra Microsoft 365 Defender produkter via Event Hubs eller Azure Storage-konto. Du kan få flere oplysninger om understøttede hændelsestyper under Understøttede hændelsestyper.

Elastisk

Du kan få flere oplysninger om elastic streaming-API-integration under Microsoft M365 Defender | Elastisk dokumentation.

Relaterede artikler

Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft 365 Defender Tech Community.