Integrieren Ihrer SIEM-Tools in Microsoft Defender XDR
Gilt für:
Hinweis
Testen Sie unsere neuen APIs mithilfe der MS Graph-Sicherheits-API. Weitere Informationen finden Sie unter : Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn.
Pullen Microsoft Defender XDR Incidents und Streamingereignisdaten mithilfe von SIEM-Tools (Security Information and Event Management)
Hinweis
- Microsoft Defender XDR Incidents besteht aus Sammlungen korrelierter Warnungen und deren Beweisen.
- Microsoft Defender XDR Streaming-API streamt Ereignisdaten aus Microsoft Defender XDR an Event Hubs oder Azure Storage-Konten.
Microsoft Defender XDR unterstützt SIEM-Tools (Security Information and Event Management) zum Erfassen von Informationen von Ihrem Unternehmensmandanten in Microsoft Entra ID mithilfe des OAuth 2.0-Authentifizierungsprotokolls für eine registrierte Microsoft Entra Anwendung, die die spezifische SIEM-Lösung oder den in Ihrem installierten Connector darstellt. Umgebung.
Weitere Informationen finden Sie unter:
- lizenz und nutzungsbedingungen für Microsoft Defender XDR-APIs
- Zugreifen auf die Microsoft Defender XDR-APIs
- Beispiel für Hello World
- Zugriff mit Anwendungskontext
Es gibt zwei primäre Modelle zum Erfassen von Sicherheitsinformationen:
Erfassen Microsoft Defender XDR Incidents und der zugehörigen enthaltenen Warnungen aus einer REST-API in Azure.
Erfassen von Streamingereignisdaten entweder über Azure Event Hubs- oder Azure Storage-Konten.
Microsoft Defender XDR unterstützt derzeit die folgenden SIEM-Lösungsintegrationen:
- Erfassen von Incidents aus der Incidents-REST-API
- Erfassen von Streamingereignisdaten über Event Hub
Erfassen von Incidents aus der Incidents-REST-API
Incidentschema
Weitere Informationen zu Microsoft Defender XDR Incidenteigenschaften, einschließlich enthaltener Metadaten von Warnungs- und Beweisentitäten, finden Sie unter Schemazuordnung.
Splunk
Verwenden des neuen, vollständig unterstützten Splunk-Add-Ons für Microsoft Security, das Folgendes unterstützt:
Erfassen von Incidents, die Warnungen aus den folgenden Produkten enthalten, die dem Common Information Model (CIM) von Splunk zugeordnet sind:
- Microsoft Defender XDR
- Microsoft Defender für Endpunkt
- Microsoft Defender for Identity und Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
Erfassen von Defender für Endpunkt-Warnungen (über den Azure-Endpunkt von Defender für Endpunkt) und Aktualisieren dieser Warnungen
Die Unterstützung für das Aktualisieren Microsoft Defender XDR Incidents und/oder Microsoft Defender for Endpoint Warnungen und der entsprechenden Dashboards wurde in die Microsoft 365-App für Splunk verschoben.
Weitere Informationen:
Das Splunk-Add-On für Microsoft Security finden Sie im Microsoft-Sicherheits-Add-On auf Splunkbase.
Die Microsoft 365-App für Splunk finden Sie unter Microsoft 365-App auf Splunkbase.
Micro Focus ArcSight
Der neue SmartConnector für Microsoft Defender XDR erfasst Incidents in ArcSight und ordnet diese dem Common Event Framework (CEF) zu.
Weitere Informationen zum neuen ArcSight SmartConnector für Microsoft Defender XDR finden Sie in der ArcSight-Produktdokumentation.
Der SmartConnector ersetzt den vorherigen FlexConnector für Microsoft Defender for Endpoint, der veraltet ist.
Elastische
Elastic Security kombiniert SIEM-Bedrohungserkennungsfeatures mit Endpunktschutz- und -reaktionsfunktionen in einer Lösung. Die Elastic-Integration für Microsoft Defender XDR und Defender für Endpunkt ermöglicht Es Organisationen, Incidents und Warnungen von Defender innerhalb von Elastic Security zu nutzen, um Untersuchungen und Reaktion auf Vorfälle durchzuführen. Elastic korreliert diese Daten mit anderen Datenquellen, einschließlich Cloud-, Netzwerk- und Endpunktquellen, und verwendet robuste Erkennungsregeln, um Bedrohungen schnell zu finden. Weitere Informationen zum Elastic-Connector finden Sie unter Microsoft M365 Defender | Elastische Dokumente
Erfassen von Streamingereignisdaten über Event Hubs
Zuerst müssen Sie Ereignisse von Ihrem Microsoft Entra Mandanten an Ihr Event Hubs- oder Azure Storage-Konto streamen. Weitere Informationen finden Sie unter Streaming-API.
Weitere Informationen zu den von der Streaming-API unterstützten Ereignistypen finden Sie unter Unterstützte Streamingereignistypen.
Splunk
Verwenden Sie das Splunk-Add-On für Microsoft Cloud Services, um Ereignisse aus Azure Event Hubs zu erfassen.
Weitere Informationen zum Splunk-Add-On für Microsoft Cloud Services finden Sie im Microsoft Cloud Services-Add-On auf Splunkbase.
IBM QRadar
Verwenden Sie das neue IBM QRadar Microsoft Defender XDR Device Support Module (DSM), das die Microsoft Defender XDR Streaming-API aufruft, die das Erfassen von Streamingereignisdaten aus Microsoft Defender XDR Produkten über Event Hubs oder ein Azure Storage-Konto ermöglicht. Weitere Informationen zu unterstützten Ereignistypen finden Sie unter Unterstützte Ereignistypen.
Elastische
Weitere Informationen zur Integration der Elastic Streaming-API finden Sie unter Microsoft M365 Defender | Elastische Dokumente.
Verwandte Artikel
Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für