Integration Ihrer SIEM-Tools in Microsoft 365 Defender
Gilt für:
Hinweis
Testen Sie unsere neuen APIs mithilfe der MS Graph-Sicherheits-API. Weitere Informationen finden Sie unter : Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn.
Pullen Microsoft 365 Defender Incidents und Streamingereignisdaten mithilfe von SIEM-Tools (Security Information and Events Management)
Hinweis
- Microsoft 365 Defender Incidents bestehen aus Sammlungen korrelierter Warnungen und deren Beweisen.
- Microsoft 365 Defender Streaming-API streamt Ereignisdaten aus Microsoft 365 Defender an Event Hubs oder Azure-Speicherkonten.
Microsoft 365 Defender unterstützt SIEM-Tools (Security Information and Event Management), die Informationen aus Ihrem Unternehmensmandanten in Azure Active Directory (AAD) mithilfe des OAuth 2.0-Authentifizierungsprotokolls für eine registrierte AAD-Anwendung erfassen, die die spezifische SIEM-Lösung oder den in Ihrer Umgebung installierten Siem-Connector darstellt.
Weitere Informationen finden Sie unter:
- Microsoft 365 Defender APIs-Lizenz und Nutzungsbedingungen
- Zugreifen auf die Microsoft 365 Defender-APIs
- Beispiel für Hello World
- Zugriff mit Anwendungskontext
Es gibt zwei primäre Modelle zum Erfassen von Sicherheitsinformationen:
Erfassen Microsoft 365 Defender Incidents und der zugehörigen enthaltenen Warnungen aus einer REST-API in Azure.
Erfassen von Streamingereignisdaten entweder über Azure Event Hubs- oder Azure Storage-Konten.
Microsoft 365 Defender unterstützt derzeit die folgenden SIEM-Lösungsintegrationen:
- Erfassen von Incidents aus der Incidents-REST-API
- Erfassen von Streamingereignisdaten über Event Hub
Erfassen von Incidents aus der Incidents-REST-API
Incidentschema
Weitere Informationen zu Microsoft 365 Defender Incidenteigenschaften, einschließlich enthaltener Metadaten von Warnungs- und Beweisentitäten, finden Sie unter Schemazuordnung.
Splunk
Verwenden des neuen, vollständig unterstützten Splunk-Add-Ons für Microsoft Security, das Folgendes unterstützt:
Erfassen von Incidents, die Warnungen aus den folgenden Produkten enthalten, die dem Common Information Model (CIM) von Splunk zugeordnet sind:
- Microsoft 365 Defender
- Microsoft Defender für Endpunkt
- Microsoft Defender for Identity und Azure Active Directory Identity Protection
- Microsoft Defender for Cloud Apps
Erfassen von Defender für Endpunkt-Warnungen (über den Azure-Endpunkt von Defender für Endpunkt) und Aktualisieren dieser Warnungen
Die Unterstützung für das Aktualisieren Microsoft 365 Defender Incidents und/oder Microsoft Defender for Endpoint Warnungen und der entsprechenden Dashboards wurde in die Microsoft 365-App für Splunk verschoben.
Weitere Informationen:
Das Splunk-Add-On für Microsoft Security finden Sie im Microsoft-Sicherheits-Add-On auf Splunkbase.
Die Microsoft 365-App für Splunk finden Sie unter Microsoft 365-App auf Splunkbase.
Micro Focus ArcSight
Der neue SmartConnector für Microsoft 365 Defender erfasst Incidents in ArcSight und ordnet diese dem Common Event Framework (CEF) zu.
Weitere Informationen zum neuen ArcSight SmartConnector für Microsoft 365 Defender finden Sie in der ArcSight-Produktdokumentation.
Der SmartConnector ersetzt den vorherigen FlexConnector für Microsoft Defender for Endpoint, der veraltet ist.
Elastische
Elastic Security kombiniert SIEM-Bedrohungserkennungsfeatures mit Endpunktschutz- und -reaktionsfunktionen in einer Lösung. Die Elastic-Integration für Microsoft 365 Defender und Defender für Endpunkt ermöglicht Es Organisationen, Incidents und Warnungen von Defender innerhalb von Elastic Security zu nutzen, um Untersuchungen und Reaktion auf Vorfälle durchzuführen. Elastic korreliert diese Daten mit anderen Datenquellen, einschließlich Cloud-, Netzwerk- und Endpunktquellen, und verwendet robuste Erkennungsregeln, um Bedrohungen schnell zu finden. Weitere Informationen zum Elastic-Connector finden Sie unter Microsoft M365 Defender | Elastische Dokumente
Erfassen von Streamingereignisdaten über Event Hubs
Zuerst müssen Sie Ereignisse von Ihrem Azure AD-Mandanten an Ihr Event Hubs- oder Azure Storage-Konto streamen. Weitere Informationen finden Sie unter Streaming-API.
Weitere Informationen zu den von der Streaming-API unterstützten Ereignistypen finden Sie unter Unterstützte Streamingereignistypen.
Splunk
Verwenden Sie das Splunk-Add-On für Microsoft Cloud Services, um Ereignisse aus Azure Event Hubs zu erfassen.
Weitere Informationen zum Splunk-Add-On für Microsoft Cloud Services finden Sie im Microsoft Cloud Services-Add-On auf Splunkbase.
IBM QRadar
Verwenden Sie das neue IBM QRadar Microsoft 365 Defender Device Support Module (DSM), das die Microsoft 365 Defender Streaming-API aufruft, die das Erfassen von Streamingereignisdaten aus Microsoft 365 Defender Produkten über Event Hubs oder ein Azure Storage-Konto ermöglicht. Weitere Informationen zu unterstützten Ereignistypen finden Sie unter Unterstützte Ereignistypen.
Elastische
Weitere Informationen zur Integration der Elastic Streaming-API finden Sie unter Microsoft M365 Defender | Elastische Dokumente.
Verwandte Artikel
Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph | Microsoft Learn