Integrar las herramientas SIEM con Microsoft Defender XDR
Se aplica a:
Nota:
Pruebe nuestras nuevas API mediante la API de seguridad de MS Graph. Obtenga más información en: Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn.
Extracción Microsoft Defender XDR incidentes y streaming de datos de eventos mediante herramientas de administración de eventos e información de seguridad (SIEM)
Nota:
- Microsoft Defender XDR Incidents consta de colecciones de alertas correlacionadas y sus pruebas.
- Microsoft Defender XDR Streaming API transmite datos de eventos de Microsoft Defender XDR a centros de eventos o cuentas de almacenamiento de Azure.
Microsoft Defender XDR admite herramientas de administración de eventos e información de seguridad (SIEM) que ingieren información del inquilino empresarial en Microsoft Entra ID mediante el protocolo de autenticación de OAuth 2.0 para una aplicación de Microsoft Entra registrada que represente la solución SIEM o el conector específico instalado en el Ambiente.
Para obtener más información, consulte:
- licencia y términos de uso de las API de Microsoft Defender XDR
- Acceso a las API de Microsoft Defender XDR
- Hola mundo, ejemplo
- Obtener acceso con el contexto de la aplicación
Hay dos modelos principales para ingerir información de seguridad:
Ingerir Microsoft Defender XDR incidentes y sus alertas independientes de una API REST en Azure.
Ingerir datos de eventos de streaming a través de Azure Event Hubs o cuentas de Azure Storage.
Microsoft Defender XDR admite actualmente las siguientes integraciones de soluciones SIEM:
- Ingesta de incidentes desde la API REST de incidentes
- Ingesta de datos de eventos de streaming a través del centro de eventos
Ingesta de incidentes desde la API REST de incidentes
Esquema de incidentes
Para obtener más información sobre Microsoft Defender XDR propiedades de incidentes, incluidos los metadatos de entidades de alerta y evidencia contenidas, consulte Asignación de esquemas.
Splunk
Uso del nuevo complemento Splunk totalmente compatible con Microsoft Security que admite:
Ingerir incidentes que contienen alertas de los siguientes productos, que se asignan al modelo de información común (CIM) de Splunk:
- Microsoft Defender XDR
- Microsoft Defender para punto de conexión
- Microsoft Defender for Identity y Protección de Microsoft Entra ID
- Microsoft Defender for Cloud Apps
Ingesta de alertas de Defender para punto de conexión (desde el punto de conexión de Azure de Defender para punto de conexión) y actualización de estas alertas
La compatibilidad para actualizar Microsoft Defender XDR incidentes o alertas de Microsoft Defender para punto de conexión y los paneles respectivos se ha movido a la aplicación de Microsoft 365 para Splunk.
Para obtener más información sobre:
El complemento Splunk para Microsoft Security, consulte el complemento de seguridad de Microsoft en Splunkbase.
La aplicación de Microsoft 365 para Splunk, consulte la aplicación de Microsoft 365 en Splunkbase.
Micro Focus ArcSight
El nuevo SmartConnector para Microsoft Defender XDR ingiere incidentes en ArcSight y los asigna a su Common Event Framework (CEF).
Para obtener más información sobre el nuevo ArcSight SmartConnector para Microsoft Defender XDR, consulte la documentación del producto ArcSight.
SmartConnector reemplaza al anterior FlexConnector por Microsoft Defender para punto de conexión que ha quedado en desuso.
Elástico
Elastic Security combina características de detección de amenazas SIEM con funcionalidades de prevención y respuesta de puntos de conexión en una solución. La integración elástica para Microsoft Defender XDR y Defender para punto de conexión permite a las organizaciones aprovechar los incidentes y las alertas de Defender en Elastic Security para realizar investigaciones y respuesta a incidentes. Elastic correlaciona estos datos con otros orígenes de datos, incluidos los orígenes de nube, red y punto de conexión, mediante reglas de detección sólidas para encontrar amenazas rápidamente. Para obtener más información sobre el conector elástico, consulte: Microsoft M365 Defender | Documentos elásticos
Ingesta de datos de eventos de streaming a través de Event Hubs
En primer lugar, debe transmitir eventos desde el inquilino de Microsoft Entra a su cuenta de Azure Storage o Event Hubs. Para obtener más información, consulte Streaming API.
Para obtener más información sobre los tipos de eventos admitidos por streaming API, consulte Tipos de eventos de streaming admitidos.
Splunk
Use el complemento Splunk para Microsoft Cloud Services para ingerir eventos de Azure Event Hubs.
Para obtener más información sobre el complemento Splunk para Microsoft Cloud Services, consulte el complemento de Microsoft Cloud Services en Splunkbase.
IBM QRadar
Use el nuevo módulo ibm QRadar Microsoft Defender XDR Device Support Module (DSM) que llama a la API de streaming de Microsoft Defender XDR que permite la ingesta de datos de eventos de streaming de Microsoft Defender XDR productos a través de Event Hubs o una cuenta de Azure Storage. Para obtener más información sobre los tipos de eventos admitidos, vea Tipos de eventos admitidos.
Elástico
Para obtener más información sobre la integración de Elastic Streaming API, consulte Microsoft M365 Defender | Documentos elásticos.
Artículos relacionados
Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de