Intégrer vos outils SIEM à Microsoft Defender pour point de terminaison

S’applique à :

Ingérer des alertes à l’aide des outils de gestion des informations et des événements de sécurité (SIEM)

Notes

Microsoft Defender pour point de terminaison alerte est composée d’un ou de plusieurs événements suspects ou malveillants qui se sont produits sur l’appareil et de leurs détails connexes. L’API d’alerte Microsoft Defender pour point de terminaison est la dernière API pour la consommation des alertes et contient une liste détaillée des preuves associées pour chaque alerte. Pour plus d’informations, consultez Les méthodes d’alerte, les propriétés et les alertes de liste.

Microsoft Defender pour point de terminaison prend en charge les outils SIEM (Security Information and Event Management) qui ingèrent des informations à partir de votre locataire d’entreprise dans Azure Active Directory (AAD) à l’aide du protocole d’authentification OAuth 2.0 pour une application AAD inscrite représentant la solution ou le connecteur SIEM spécifique installé dans votre environnement.

Pour plus d’informations, consultez l’article suivant :

Microsoft Defender pour point de terminaison prend actuellement en charge les intégrations de solutions SIEM suivantes :

Ingestion d’incidents et d’alertes à partir des Microsoft 365 Defender et des Microsoft Defender pour point de terminaison incidents et alertes DES API REST

Ingestion d’incidents à partir de l’API REST Microsoft 365 Defender incidents

Pour plus d’informations sur l’API Microsoft 365 Defender incidents, consultez les méthodes et les propriétés des incidents.

Ingestion d’alertes à partir de l’API REST d’alertes Microsoft Defender pour point de terminaison

Pour plus d’informations sur l’API d’alertes Microsoft Defender pour point de terminaison, consultez les méthodes et propriétés des alertes.

Intégration de l’outil SIEM à Microsoft Defender pour point de terminaison

Splunk

Utilisation du module complémentaire Microsoft 365 Defender pour Splunk qui prend en charge :

  • Ingestion d’alertes Microsoft Defender pour point de terminaison
  • Mise à jour des alertes dans Microsoft Defender pour point de terminaison à partir de Splunk

Pour plus d’informations sur le module complémentaire Microsoft 365 Defender pour Splunk, consultez splunkbase.

Datadog

Microsoft 365 Defender pour l’intégration de point de terminaison à Datadog prend en charge :

  • Ingestion d’alertes et d’incidents Microsoft Defender pour point de terminaison
  • Tableaux de bord qui permettent de surveiller les métriques entre les points de terminaison, les menaces et les vulnérabilités, ainsi que les logiciels

Pour plus d’informations sur l’intégration, consultez La Place de marché Datadog.

Micro Focus ArcSight

Le nouveau SmartConnector pour Microsoft 365 Defender ingère les incidents qui contiennent des alertes de tous les produits Microsoft 365 Defender, y compris à partir de Microsoft Defender pour point de terminaison, dans ArcSight et les mappe à son Infrastructure d’événements commun (CEF).

Pour plus d’informations sur le nouveau SmartConnector ArcSight pour Microsoft 365 Defender, consultez la documentation d’ArcSight Product.

SmartConnector remplace le FlexConnector précédent pour Microsoft 365 Defender.

IBM QRadar

Notes

L’intégration d’IBM QRadar à Microsoft 365 Defender, qui inclut Microsoft Defender pour point de terminaison, est désormais prise en charge par le nouveau module de support d’appareil Microsoft 365 Defender (DSM) qui appelle le Microsoft 365 Defender API de streaming qui permet d’ingérer des données d’événement de streaming à partir de produits Microsoft 365 Defender, y compris Microsoft Defender pour point de terminaison. Pour plus d’informations sur le nouveau QRadar Microsoft 365 Defender DSM, consultez la documentation du produit IBM QRadar et pour plus d’informations sur les types d’événements pris en charge par l’API de streaming, consultez Types d’événements pris en charge.

Les nouveaux clients ne sont plus intégrés à l’aide du module DSM (Device Support Module) Microsoft Defender ATP (QRadar) précédent, et les clients existants sont encouragés à adopter le nouveau Microsoft 365 Defender DSM comme point d’intégration unique avec tous les produits Microsoft 365 Defender.

Ingestion d’événements Microsoft Defender pour point de terminaison à partir de l’API de streaming d’événements Microsoft 365 Defender

Microsoft 365 Defender données d’événement de streaming incluent des alertes et d’autres événements provenant de Microsoft Defender pour point de terminaison et d’autres produits Microsoft Defender. Ces événements peuvent être diffusés en continu vers un compte de stockage Azure ou vers Azure Event Hubs. Le modèle d’intégration via event hubs est actuellement pris en charge par Splunk et IBM QRadar.

Pour plus d’informations, consultez Microsoft 365 Defender intégration SIEM.