שלב את כלי ה- SIEM שלך עם Microsoft Defender XDR
חל על:
משוך מקרי XDR של Microsoft Defender ותזרמת נתוני אירועים באמצעות כלי ניהול פרטי אבטחה ואירועים (SIEM)
הערה
- אירועי XDR של Microsoft Defender מורכבים מאוספים של התראות מתאם והראיות שלהן.
- MICROSOFT Defender XDR Streaming API מזרים נתוני אירועים מ- Microsoft Defender XDR לרכזות אירועים או חשבונות אחסון של Azure.
Microsoft Defender XDR תומך במידע אבטחה וכלי ניהול אירועים (SIEM) לאחסון מידע מהדייר הארגוני שלך ב- Microsoft Entra ID באמצעות פרוטוקול האימות של OAuth 2.0 עבור יישום Microsoft Entra רשום המייצג את פתרון או מחבר SIEM הספציפיים המותקנים בסביבה שלך.
לקבלת מידע נוסף, ראה:
- רשיון ממשקי API של XDR של Microsoft Defender ותנאי שימוש
- גישה אל ממשקי ה- API של XDR של Microsoft Defender
- דוגמה של Hello World
- קבל גישה באמצעות הקשר היישום
קיימים שני מודלים עיקריים כדי להוסיף מידע אבטחה:
Inging Microsoft Defender XDR incidents and their contained alerts from a REST API in Azure.
זרימה של נתוני אירוע זרימה באמצעות מרכזי אירועים של Azure או חשבונות אחסון של Azure.
Microsoft Defender XDR תומך כעת בשילובים הבאים של פתרונות SIEM:
Inging incidents from the incidents REST API
סכימת אירוע
לקבלת מידע נוסף על מאפייני אירוע XDR של Microsoft Defender, כולל מטה-נתונים של ישויות של התראות וראיות, ראה מיפוי סכימה.
תיל משוכפל
שימוש בהרחבה החדשה, הנתמכת במלואה Splunk עבור אבטחת Microsoft התומכת ב:
צריחת אירועים המכילים התראות מן המוצרים הבאים, הממופים למודל המידע המשותף של Splunk (CIM):
- Microsoft Defender XDR
- Microsoft Defender עבור נקודת קצה
- Microsoft Defender עבור Identity ו- Microsoft Entra ID Protection
- Microsoft Defender עבור יישומי ענן
Ingesting Defender for Endpoint alerts (from the Defender for Endpoint's Endpoint) and updating these alerts
תמיכה בעדכון אירועי XDR של Microsoft Defender ו/או Microsoft Defender עבור התראות נקודת קצה ולוחות המחוונים המתאימים עברו לאפליקציה של Microsoft 365 עבור Splunk.
לקבלת מידע נוסף אודות:
The Splunk Add-on for Microsoft Security, see the Microsoft Security Add-on Splunkbase
האפליקציה Microsoft 365 עבור Splunk, עיין באפליקציית Microsoft 365 ב- Splunkbase
ArcSight של מיקרו-התמקדות
SmartConnector החדש עבור XDR של Microsoft Defender מקיף אירועים ב- ArcSight וממפה אותם למסגרת האירועים הנפוצה (CEF) שלו.
לקבלת מידע נוסף על ArcSight SmartConnector החדש עבור XDR של Microsoft Defender, ראה תיעוד המוצר ArcSight.
SmartConnector מחליף את FlexConnector הקודם עבור Microsoft Defender עבור נקודת קצה שהוצאה משימוש כעת.
אלסטי
'אבטחה אלסטית' משלבת תכונות זיהוי איומים של SIEM עם יכולות מניעה ותגובה של נקודות קצה בפתרון אחד. השילוב עם Elastic עבור Microsoft Defender XDR ו- Defender for Endpoint מאפשר לארגונים למנף אירועים והתראות מ- Defender בתוך האבטחה אלסטיה כדי לבצע חקירות ותשובות לתקריות. אלסטי מתאם נתונים אלה עם מקורות נתונים אחרים, כולל מקורות ענן, רשת ומקורות נקודת קצה באמצעות כללי זיהוי חזקים לאיתור איומים במהירות. לקבלת מידע נוסף אודות המחבר אלסטי, ראה: Microsoft M365 Defender | מסמכים אלסטיים
זרימה של נתוני אירוע זרימה דרך מרכזי אירועים
תחילה עליך להזרים אירועים מדייר Microsoft Entra שלך לרכזות האירועים או לחשבון האחסון של Azure. לקבלת מידע נוסף, ראה Api של זרימה.
לקבלת מידע נוסף על סוגי האירועים הנתמכים על-ידי ה- API של Streaming, ראה סוגי אירועי זרימה נתמכים.
תיל משוכפל
השתמש בהרחבה Splunk עבור שירותי הענן של Microsoft כדי להוסיף אירועים ממרכזי האירועים של Azure.
לקבלת מידע נוסף על ההרחבה Splunk עבור שירותי הענן של Microsoft, עיין בהרחבה 'שירותי ענן של Microsoft' ב- Splunkbase.
IBM QRadar
השתמש במודול התמיכה החדש של Microsoft Defender XDR Device Support (DSM) של IBM QRadar אשר קורא ל- API הזרמת XDR של Microsoft Defender המאפשר זרימה של נתוני אירועים של זרימה מתוך מוצרי XDR של Microsoft Defender דרך מרכזי אירועים או חשבון אחסון של Azure. לקבלת מידע נוסף אודות סוגי אירועים נתמכים, ראה סוגי אירועים נתמכים.
אלסטי
לקבלת מידע נוסף על שילוב ה- API של הזרמת Elastic, ראה Microsoft M365 Defender | מסמכים אלסטיים.
מאמרים קשורים
השתמש ב- API של אבטחת Microsoft Graph - Microsoft Graph | Microsoft Learn
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.