Intégrer vos outils SIEM avec Microsoft Defender XDR
S’applique à :
Extraire des incidents Microsoft Defender XDR et diffuser en continu des données d’événements à l’aide des outils SIEM (Security Information and Events Management)
Remarque
- Les incidents XDR Microsoft Defender se composent de collections d’alertes corrélées et de leurs preuves.
- L’API de streaming Microsoft Defender XDR diffuse des données d’événement de Microsoft Defender XDR vers des hubs d’événements ou des comptes de stockage Azure.
Microsoft Defender XDR prend en charge les outils SIEM (Security Information and Event Management) qui ingèrent les informations de votre locataire d’entreprise dans l’ID Microsoft Entra à l’aide du protocole d’authentification OAuth 2.0 pour une application Microsoft Entra inscrite représentant la solution SIEM ou le connecteur spécifique installé dans votre environnement.
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Licence et conditions d’utilisation des API XDR Microsoft Defender
- Accéder aux API XDR Microsoft Defender
- Exemple Hello World
- Obtenir l’accès avec le contexte de l’application
Il existe deux modèles principaux pour ingérer les informations de sécurité :
Ingestion d’incidents Microsoft Defender XDR et de leurs alertes contenues à partir d’une API REST dans Azure.
Ingérer des données d’événements de streaming via Azure Event Hubs ou des comptes de stockage Azure.
Microsoft Defender XDR prend actuellement en charge les intégrations de solutions SIEM suivantes :
- Ingestion d’incidents à partir de l’API REST incidents
- Ingérer des données d’événement de streaming via Event Hubs
Ingestion d’incidents à partir de l’API REST incidents
Schéma d’incident
Pour plus d’informations sur les propriétés d’incident Microsoft Defender XDR, notamment les métadonnées des entités d’alerte et de preuve contenues, consultez Mappage de schéma.
Splunk
Utilisation du nouveau module complémentaire Splunk entièrement pris en charge pour la sécurité Microsoft qui prend en charge les éléments suivants :
Ingérer des incidents qui contiennent des alertes des produits suivants, qui sont mappés au modèle CIM (Common Information Model) de Splunk :
- Microsoft Defender XDR
- Microsoft Defender pour point de terminaison
- Microsoft Defender pour Identity et Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
Ingestion des alertes Defender pour point de terminaison (à partir du point de terminaison Azure de Defender pour point de terminaison) et mise à jour de ces alertes
La prise en charge de la mise à jour des incidents Microsoft Defender XDR et/ou des alertes Microsoft Defender pour point de terminaison et des tableaux de bord respectifs a été déplacée vers l’application Microsoft 365 pour Splunk.
Pour plus d’informations :
Le module complémentaire Splunk pour la sécurité Microsoft, consultez le module complémentaire de sécurité Microsoft sur Splunkbase
L’application Microsoft 365 pour Splunk, consultez l’application Microsoft 365 sur Splunkbase
Micro Focus ArcSight
Le nouveau SmartConnector pour Microsoft Defender XDR ingère les incidents dans ArcSight et les mappe à son Common Event Framework (CEF).
Pour plus d’informations sur le nouveau SmartConnector ArcSight pour Microsoft Defender XDR, consultez La documentation du produit ArcSight.
SmartConnector remplace l’ancien FlexConnector pour Microsoft Defender pour point de terminaison qui est maintenant mis hors service.
Élastique
Elastic Security combine des fonctionnalités de détection des menaces SIEM avec des fonctionnalités de prévention et de réponse aux points de terminaison dans une solution. L’intégration élastique pour Microsoft Defender XDR et Defender pour point de terminaison permet aux organisations de tirer parti des incidents et des alertes de Defender dans Elastic Security pour effectuer des enquêtes et des réponses aux incidents. Elastic met en corrélation ces données avec d’autres sources de données, notamment le cloud, le réseau et les sources de point de terminaison à l’aide de règles de détection robustes pour trouver rapidement les menaces. Pour plus d’informations sur le connecteur élastique, consultez : Microsoft M365 Defender | Documentation élastique
Ingérer des données d’événement de streaming via Event Hubs
Tout d’abord, vous devez diffuser en continu les événements de votre locataire Microsoft Entra vers votre compte Event Hubs ou stockage Azure. Pour plus d’informations, consultez API de diffusion en continu.
Pour plus d’informations sur les types d’événements pris en charge par l’API de streaming, consultez Types d’événements de streaming pris en charge.
Splunk
Utilisez le module complémentaire Splunk pour Microsoft Cloud Services pour ingérer des événements à partir d’Azure Event Hubs.
Pour plus d’informations sur le module complémentaire Splunk pour Microsoft Cloud Services, consultez le module complémentaire Microsoft Cloud Services sur Splunkbase.
IBM QRadar
Utilisez le nouveau module de support d’appareil (DSM) IBM QRadar Microsoft Defender XDR qui appelle l’API de diffusion en continu Microsoft Defender XDR qui permet d’ingérer des données d’événements de streaming à partir de produits Microsoft Defender XDR via Event Hubs ou un compte de stockage Azure. Pour plus d’informations sur les types d’événements pris en charge, consultez Types d’événements pris en charge.
Élastique
Pour plus d’informations sur l’intégration de l’API de streaming élastique, consultez Microsoft M365 Defender | Documents élastiques.
Articles connexes
Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.