Integrar las herramientas SIEM con Microsoft Defender XDR

Se aplica a:

• Microsoft Defender para punto de conexión
• Microsoft Defender XDR

Extracción de incidentes XDR de Microsoft Defender y datos de eventos de streaming mediante herramientas de administración de eventos e información de seguridad (SIEM)

Nota:

• Los incidentes XDR de Microsoft Defender constan de colecciones de alertas correlacionadas y sus pruebas.
• La API de streaming XDR de Microsoft Defender transmite datos de eventos de Microsoft Defender XDR a centros de eventos o cuentas de almacenamiento de Azure.

Microsoft Defender XDR admite herramientas de administración de eventos e información de seguridad (SIEM) que ingieren información de su inquilino empresarial en el identificador de Microsoft Entra mediante el protocolo de autenticación de OAuth 2.0 para una aplicación Microsoft Entra registrada que represente la solución SIEM o el conector específico instalado en su entorno.

Para más información, vea:

• Licencia y términos de uso de las API XDR de Microsoft Defender
• Acceso a las API de XDR de Microsoft Defender
• Hola mundo, ejemplo
• Obtener acceso con el contexto de la aplicación

Hay dos modelos principales para ingerir información de seguridad:

1. Ingerir incidentes XDR de Microsoft Defender y sus alertas contenidas desde una API REST en Azure.

2. Ingerir datos de eventos de streaming a través de Azure Event Hubs o cuentas de Azure Storage.

XDR de Microsoft Defender admite actualmente las siguientes integraciones de soluciones SIEM:

• Ingesta de incidentes desde la API REST de incidentes
• Ingesta de datos de eventos de streaming a través de Event Hubs

Ingesta de incidentes desde la API REST de incidentes

Esquema de incidentes

Para obtener más información sobre las propiedades de incidentes XDR de Microsoft Defender, incluidos los metadatos de entidades de alerta y evidencia contenidas, consulte Asignación de esquemas.

Splunk

Uso del nuevo complemento Splunk totalmente compatible con Microsoft Security que admite:

• Ingerir incidentes que contienen alertas de los siguientes productos, que se asignan al modelo de información común (CIM) de Splunk:

  • Microsoft Defender XDR
  • Microsoft Defender para punto de conexión
  • Microsoft Defender for Identity y Microsoft Entra ID Protection
  • Microsoft Defender for Cloud Apps

• Ingesta de alertas de Defender para punto de conexión (desde el punto de conexión de Azure de Defender para punto de conexión) y actualización de estas alertas

• La compatibilidad con la actualización de incidentes XDR de Microsoft Defender o alertas de Microsoft Defender para punto de conexión y los paneles respectivos se ha movido a la aplicación de Microsoft 365 para Splunk.

Para obtener más información sobre:

• El complemento Splunk para Microsoft Security, consulte el complemento de seguridad de Microsoft en Splunkbase.

• La aplicación de Microsoft 365 para Splunk, consulte la aplicación de Microsoft 365 en Splunkbase.

Micro Focus ArcSight

El nuevo SmartConnector para Microsoft Defender XDR ingiere incidentes en ArcSight y los asigna a su Common Event Framework (CEF).

Para obtener más información sobre el nuevo ArcSight SmartConnector for Microsoft Defender XDR, consulte la documentación del producto ArcSight.

SmartConnector reemplaza al anterior FlexConnector para Microsoft Defender para punto de conexión que ahora se ha retirado.

Elástico

Elastic Security combina características de detección de amenazas SIEM con funcionalidades de prevención y respuesta de puntos de conexión en una solución. La integración elástica para XDR de Microsoft Defender y Defender para punto de conexión permite a las organizaciones aprovechar incidentes y alertas de Defender en Elastic Security para realizar investigaciones y respuesta a incidentes. Elastic correlaciona estos datos con otros orígenes de datos, incluidos los orígenes de nube, red y punto de conexión, mediante reglas de detección sólidas para encontrar amenazas rápidamente. Para obtener más información sobre el conector elástico, consulte: Microsoft M365 Defender | Documentos elásticos

Ingesta de datos de eventos de streaming a través de Event Hubs

En primer lugar, debe transmitir eventos desde el inquilino de Microsoft Entra a event hubs o cuenta de Azure Storage. Para obtener más información, consulte Streaming API.

Para obtener más información sobre los tipos de eventos admitidos por streaming API, consulte Tipos de eventos de streaming admitidos.

Splunk

Use el complemento Splunk para Microsoft Cloud Services para ingerir eventos de Azure Event Hubs.

Para obtener más información sobre el complemento Splunk para Microsoft Cloud Services, consulte el complemento de Microsoft Cloud Services en Splunkbase.

IBM QRadar

Use el nuevo módulo de compatibilidad con dispositivos XDR de Ibm QRadar Microsoft Defender (DSM) que llama a la API de streaming XDR de Microsoft Defender que permite ingerir datos de eventos de streaming de productos XDR de Microsoft Defender a través de Event Hubs o una cuenta de Azure Storage. Para obtener más información sobre los tipos de eventos admitidos, vea Tipos de eventos admitidos.

Elástico

Para obtener más información sobre la integración de Elastic Streaming API, consulte Microsoft M365 Defender | Documentos elásticos.

Artículos relacionados

Uso de la API de seguridad de Microsoft Graph: Microsoft Graph | Microsoft Learn

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Comunidad tecnológica XDR de Microsoft Defender.