Integrieren Ihrer SIEM-Tools in Microsoft Defender XDR
Gilt für:
Pullen von Microsoft Defender XDR-Vorfällen und Streamingereignisdaten mithilfe von SIEM-Tools (Security Information and Events Management)
Hinweis
- Microsoft Defender XDR-Vorfälle bestehen aus Sammlungen korrelierter Warnungen und deren Beweisen.
- Die Microsoft Defender XDR Streaming-API streamt Ereignisdaten von Microsoft Defender XDR an Event Hubs oder Azure-Speicherkonten.
Microsoft Defender XDR unterstützt SIEM-Tools (Security Information and Event Management), die Informationen von Ihrem Unternehmensmandanten in Microsoft Entra ID mithilfe des OAuth 2.0-Authentifizierungsprotokolls für eine registrierte Microsoft Entra-Anwendung erfassen, die die spezifische SIEM-Lösung oder den in Ihrer Umgebung installierten SIEM-Connector darstellt.
Weitere Informationen finden Sie unter:
- Lizenz und Nutzungsbedingungen für Microsoft Defender XDR-APIs
- Zugreifen auf die Microsoft Defender XDR-APIs
- Beispiel für Hello World
- Zugriff mit Anwendungskontext
Es gibt zwei primäre Modelle zum Erfassen von Sicherheitsinformationen:
Erfassen von Microsoft Defender XDR-Vorfällen und deren enthaltenen Warnungen aus einer REST-API in Azure.
Erfassen von Streamingereignisdaten entweder über Azure Event Hubs oder Azure Storage-Konten.
Microsoft Defender XDR unterstützt derzeit die folgenden SIEM-Lösungsintegrationen:
- Erfassen von Incidents aus der Incidents-REST-API
- Erfassen von Streamingereignisdaten über Event Hubs
Erfassen von Incidents aus der Incidents-REST-API
Incidentschema
Weitere Informationen zu Microsoft Defender XDR-Incidenteigenschaften, einschließlich enthaltener Metadaten von Warnungs- und Beweisentitäten, finden Sie unter Schemazuordnung.
Splunk
Verwenden des neuen, vollständig unterstützten Splunk-Add-Ons für Microsoft Security, das Folgendes unterstützt:
Erfassen von Incidents, die Warnungen aus den folgenden Produkten enthalten, die dem Common Information Model (CIM) von Splunk zugeordnet sind:
- Microsoft Defender XDR
- Microsoft Defender für Endpunkt
- Microsoft Defender for Identity und Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
Erfassen von Defender für Endpunkt-Warnungen (über den Azure-Endpunkt von Defender für Endpunkt) und Aktualisieren dieser Warnungen
Unterstützung für das Aktualisieren von Microsoft Defender XDR-Vorfällen und/oder Microsoft Defender für Endpunktwarnungen und den entsprechenden Dashboards wurde auf die Microsoft 365-App für Splunk verschoben.
Weitere Informationen:
Das Splunk-Add-On für Microsoft Security finden Sie im Microsoft-Sicherheits-Add-On auf Splunkbase.
Die Microsoft 365-App für Splunk finden Sie unter Microsoft 365-App auf Splunkbase.
Micro Focus ArcSight
Der neue SmartConnector für Microsoft Defender XDR erfasst Incidents in ArcSight und ordnet diese dem Common Event Framework (CEF) zu.
Weitere Informationen zum neuen ArcSight SmartConnector für Microsoft Defender XDR finden Sie in der ArcSight-Produktdokumentation.
Der SmartConnector ersetzt den vorherigen FlexConnector für Microsoft Defender für Endpunkt, der jetzt eingestellt wurde.
Elastisch
Elastic Security kombiniert SIEM-Bedrohungserkennungsfeatures mit Endpunktschutz- und -reaktionsfunktionen in einer Lösung. Die Elastic-Integration für Microsoft Defender XDR und Defender für Endpunkt ermöglicht Es Organisationen, Incidents und Warnungen von Defender innerhalb von Elastic Security zu nutzen, um Untersuchungen und Reaktion auf Vorfälle durchzuführen. Elastic korreliert diese Daten mit anderen Datenquellen, einschließlich Cloud-, Netzwerk- und Endpunktquellen, und verwendet robuste Erkennungsregeln, um Bedrohungen schnell zu finden. Weitere Informationen zum Elastic-Connector finden Sie unter Microsoft M365 Defender | Elastische Dokumente
Erfassen von Streamingereignisdaten über Event Hubs
Zuerst müssen Sie Ereignisse von Ihrem Microsoft Entra-Mandanten an Ihr Event Hubs- oder Azure Storage-Konto streamen. Weitere Informationen finden Sie unter Streaming-API.
Weitere Informationen zu den von der Streaming-API unterstützten Ereignistypen finden Sie unter Unterstützte Streamingereignistypen.
Splunk
Verwenden Sie das Splunk-Add-On für Microsoft Cloud Services, um Ereignisse aus Azure Event Hubs zu erfassen.
Weitere Informationen zum Splunk-Add-On für Microsoft Cloud Services finden Sie unter Microsoft Cloud Services-Add-On auf Splunkbase.
IBM QRadar
Verwenden Sie das neue IBM QRadar Microsoft Defender XDR Device Support Module (DSM), das die Microsoft Defender XDR Streaming-API aufruft, die das Erfassen von Streamingereignisdaten aus Microsoft Defender XDR-Produkten über Event Hubs oder ein Azure Storage-Konto ermöglicht. Weitere Informationen zu unterstützten Ereignistypen finden Sie unter Unterstützte Ereignistypen.
Elastisch
Weitere Informationen zur Integration der Elastic Streaming-API finden Sie unter Microsoft M365 Defender | Elastische Dokumente.
Verwandte Artikel
Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.