SIEM-työkalujen integrointi Microsoft Defender XDR:n kanssa
Koskee seuraavia:
Hae Microsoft Defenderin XDR-tapaukset ja tapahtumatietojen suoratoisto suojaustietojen ja tapahtumien hallintatyökalujen (SIEM) avulla
Huomautus
- Microsoft Defenderin XDR-tapaukset koostuvat korreloitujen hälytysten kokoelmista ja niiden todisteista.
- Microsoft Defender XDR Streaming -ohjelmointirajapinta suoratoistaa tapahtumatiedot Microsoft Defender XDR:stä tapahtumatoimintoihin tai Azure-tallennustileihin.
Microsoft Defender XDR tukee suojaustietojen ja tapahtumienhallintatyökalujen (SIEM) tietojen käyttöä yrityksen vuokraajasta Microsoft Entra ID:ssä OAuth 2.0 -todennusprotokollan avulla rekisteröidylle Microsoft Entra -sovellukselle, joka edustaa tiettyä siem-ratkaisua tai ympäristöösi asennettua liitintä.
Lisätietoja on seuraavissa artikkeleissa:
- Microsoft Defenderin XDR-ohjelmointirajapintojen käyttöoikeus ja käyttöehdot
- Käytä Microsoft Defenderin XDR-ohjelmointirajapintoja
- Hei maailma -esimerkki
- Hanki käyttöoikeus sovelluskontekstin avulla
Suojaustietojen käyttöön on kaksi ensisijaista mallia:
Microsoft Defenderin XDR-tapahtumien ja niiden sisältämien ilmoitusten käyttö REST-ohjelmointirajapinnasta Azuressa.
Suoratoistettavan tapahtuman tietojen käyttö joko Azuren tapahtumatoimintojen tai Azure-tallennustilien kautta.
Microsoft Defender XDR tukee tällä hetkellä seuraavia SIEM-ratkaisuintegraatioita:
- Tapausten käyttö tapausten REST-ohjelmointirajapinnasta
- Tapahtuman suoratoistotietojen käyttö tapahtumatoimintojen kautta
Tapausten käyttö tapausten REST-ohjelmointirajapinnasta
Tapausrakenne
Lisätietoja Microsoft Defenderin XDR-tapauksen ominaisuuksista, kuten hälytysten ja todisteentiteettien metatiedoista, on kohdassa Rakenteen yhdistäminen.
Splunk
Uuden, täysin tuetun Splunk-lisäosan käyttö Microsoft Securitylle, joka tukee seuraavia:
Käytetään tapauksia, jotka sisältävät hälytyksiä seuraavista tuotteista, jotka on yhdistetty Splunkin Common Information Modeliin (CIM):
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity ja Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
Defenderin käyttö päätepisteilmoituksille (Defender for Endpointin Azure-päätepisteestä) ja näiden ilmoitusten päivittäminen
Microsoft Defenderin XDR-tapausten ja/tai Microsoft Defender for Endpoint Alertsin ja vastaavien koontinäyttöjen päivittämisen tuki on siirretty Microsoft 365 App for Splunkiin.
Lisätietoja:
Microsoft Securityn Splunk-lisäosa, tutustu Microsoft Security -lisäosaan Splunkbasessa
Microsoft 365 -sovellus Splunk:lle, katso Microsoft 365 -sovellus Splunkbasessa
Micro Focus ArcSight
Uusi SmartConnector For Microsoft Defender XDR ingests -tapaukset ArcSightiin ja liittää ne sen Common Event Frameworkiin (CEF).
Lisätietoja uudesta ArcSight SmartConnector for Microsoft Defender XDR:stä on ArcSightin tuotedokumentaatiossa.
SmartConnector korvaa aiemman FlexConnector for Microsoft Defender for Endpointin, joka on nyt poistettu käytöstä.
Elastinen
Joustava suojaus yhdistää SIEM-uhkien tunnistusominaisuudet päätepisteiden esto- ja vastaustoimintoihin yhdessä ratkaisussa. Microsoft Defender XDR:n ja Defender for Endpointin joustavan integroinnin avulla organisaatiot voivat hyödyntää Defenderin tapahtumia ja hälytyksiä Elastic Securityssa tutkimusten ja tapausten käsittelyn suorittamiseksi. Joustava korreloi nämä tiedot muihin tietolähteisiin, kuten pilvipalveluun, verkkoon ja päätepistelähteisiin, käyttämällä tehokkaita tunnistussääntöjä uhkien löytämiseksi nopeasti. Lisätietoja elastisesta liittimestä: Microsoft M365 Defender | Joustavat asiakirjat
Tapahtuman suoratoistotietojen käyttö tapahtumatoimintojen kautta
Sinun täytyy ensin suoratoistaa tapahtumia Microsoft Entra -vuokraajasta tapahtumatoimintoihisi tai Azure-tallennustiliisi. Lisätietoja on kohdassa Suoratoiston ohjelmointirajapinta.
Lisätietoja suoratoiston ohjelmointirajapinnan tukemista tapahtumatyypeistä on kohdassa Tuetut suoratoistotapahtumatyypit.
Splunk
Käytä Microsoftin pilvipalveluiden Splunk-lisäosaa tapahtumien ottamiseen käyttöön Azure-tapahtumatoiminnoista.
Lisätietoja Microsoftin pilvipalveluiden Splunk-lisäosasta on Microsoft Cloud Services -lisäosassa Splunkbasessa.
IBM QRadar
Käytä uutta IBM QRadar Microsoft Defender XDR -laitetukimoduulia (DSM), joka kutsuu Microsoft Defenderin XDR-suoratoisto-ohjelmointirajapintaa , joka mahdollistaa suoratoistotapahtumatietojen käytön Microsoft Defender XDR -tuotteista tapahtumatoimintojen tai Azure-tallennustilin kautta. Lisätietoja tuetuista tapahtumatyypeistä on kohdassa Tuetut tapahtumatyypit.
Elastinen
Lisätietoja joustavan suoratoiston ohjelmointirajapinnan integroinnista on artikkelissa Microsoft M365 Defender | Joustavat asiakirjat.
Aiheeseen liittyviä artikkeleita
Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen – Microsoft Graph | Microsoft Learn
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.