שלב את כלי SIEM שלך עם Microsoft 365 Defender

חל על:

הערה

נסה את ממשקי ה- API החדשים שלנו באמצעות API של אבטחה של MS Graph. קבל מידע נוסף ב: שימוש בממשק ה- API Microsoft Graph לאבטחה - גירסת הביתא של Microsoft Graph | Microsoft ללמוד.

משוך Microsoft 365 Defender אירועים ותזרמת נתוני אירועים באמצעות כלי ניהול מידע אבטחה ואירועים (SIEM)

הערה

Microsoft 365 Defender תומך במידע אבטחה וכלי ניהול אירועים (SIEM) להוספת מידע מהדייר הארגוני שלך ב- Azure Active Directory (AAD) באמצעות פרוטוקול האימות של OAuth 2.0 עבור יישום AAD רשום המייצג את פתרון או מחבר SIEM הספציפי המותקן בסביבה שלך.

לקבלת מידע נוסף, ראה:

קיימים שני מודלים עיקריים כדי להוסיף מידע אבטחה:

  1. המערכת Microsoft 365 Defender תכלול את האירועים ואת ההתראות הכלולות שלהם ב- REST API ב- Azure.

  2. זרימה של נתוני אירוע זרימה באמצעות מרכזי אירועים של Azure או חשבונות אחסון של Azure.

Microsoft 365 Defender תומך כעת בשילובים הבאים של פתרונות SIEM:

Inging incidents from the incidents REST API

סכימת אירוע

לקבלת מידע נוסף על Microsoft 365 Defender מאפייני אירוע, כולל מטה-נתונים של ישויות של התראות וראיות, ראה מיפוי סכימה.

תיל משוכפל

שימוש בהרחבה החדשה, הנתמכת באופן מלא, עבור Microsoft אבטחה התומכת ב:

  • צריחת אירועים המכילים התראות מן המוצרים הבאים, הממופים למודל המידע המשותף של Splunk (CIM):

    • Microsoft 365 Defender
    • Microsoft Defender עבור נקודת קצה
    • Microsoft Defender עבור זהות ו- Azure Active Directory Identity Protection
    • Microsoft Defender עבור יישומי ענן
  • Ingesting Defender for Endpoint alerts (from the Defender for Endpoint's Endpoint) and updating these alerts

  • תמיכה בעדכון Microsoft 365 Defender אירועים ו/או Microsoft Defender עבור נקודת קצה ולוחות המחוונים המתאימים הועברה לאפליקציה Microsoft 365 עבור Splunk.

לקבלת מידע נוסף אודות:

ArcSight של מיקרו-התמקדות

SmartConnector החדש עבור Microsoft 365 Defender מקיף מקרי ראייה ל- ArcSight וממפה אותם למסגרת האירועים המשותפים (CEF).

לקבלת מידע נוסף אודות ArcSight SmartConnector החדש עבור Microsoft 365 Defender, ראה תיעוד המוצר ArcSight.

SmartConnector מחליף את ה- FlexConnector הקודם Microsoft Defender עבור נקודת קצה משתמש שהופחת.

זרימה של נתוני אירוע זרימה באמצעות מרכזי אירועים

תחילה עליך להזרים אירועים מדייר AAD שלך לרכזות האירועים או לחשבון האחסון של Azure. לקבלת מידע נוסף, ראה Api של זרימה.

לקבלת מידע נוסף על סוגי האירועים הנתמכים על-ידי ה- API של Streaming, ראה סוגי אירועי זרימה נתמכים.

תיל משוכפל

השתמש בהרחבה Splunk עבור שירותי Microsoft כדי להוסיף אירועים ממרכזי האירועים של Azure.

לקבלת מידע נוסף על ההרחבה Splunk for Microsoft Cloud Services, עיין בהרחבה Microsoft Cloud Services on Splunkbase.

IBM QRadar

השתמש בממשק ה- API החדש של IBM QRadar Microsoft 365 Defender Device Support Module (DSM) הקריאות ל- API של זרימת Microsoft 365 Defender המאפשר זרימה של נתוני אירוע זרימה מתוך מוצרי Microsoft 365 Defender דרך מרכזי אירועים או חשבון אחסון של Azure. לקבלת מידע נוסף אודות סוגי אירועים נתמכים, ראה סוגי אירועים נתמכים.

השתמש ב- API Microsoft האבטחה של Graph - גירסת ביתא של Microsoft Graph | Microsoft למד