A SIEM-eszközök integrálása a Microsoft Defender XDR-rel
Érintett szolgáltatás:
Microsoft Defender XDR-incidensek és streamelési események adatainak lekérése biztonsági információ- és eseménykezelési (SIEM) eszközökkel
Megjegyzés:
- A Microsoft Defender XDR incidensek korrelált riasztások gyűjteményéből és azok bizonyítékaiból tevődnek össze.
- A Microsoft Defender XDR Streaming API eseményadatokat streamel a Microsoft Defender XDR-ből az eseményközpontokba vagy az Azure Storage-fiókokba.
A Microsoft Defender XDR támogatja azokat a biztonsági információkat és eseményeket kezelő (SIEM) eszközöket, amelyek a vállalati bérlőből a Microsoft Entra ID-ban, az OAuth 2.0 hitelesítési protokoll használatával betöltik az adatokat egy regisztrált Microsoft Entra-alkalmazáshoz, amely a környezetben telepített adott SIEM-megoldást vagy összekötőt képviseli.
További információ:
- Microsoft Defender XDR API-k licence és használati feltételek
- A Microsoft Defender XDR API-k elérése
- Hello World példa
- Hozzáférés alkalmazáskörnyezettel
A biztonsági adatok betöltéséhez két elsődleges modell létezik:
Microsoft Defender XDR-incidensek és azok tartalmazott riasztásainak betöltése egy REST API-ból az Azure-ban.
Streamelési eseményadatok betöltése az Azure Event Hubson vagy az Azure Storage-fiókokon keresztül.
A Microsoft Defender XDR jelenleg a következő SIEM-megoldásintegrációkat támogatja:
- Incidensek betöltése az incidensek REST API-jából
- Streamelési eseményadatok betöltése az Event Hubson keresztül
Incidensek betöltése az incidensek REST API-jából
Incidensséma
További információ a Microsoft Defender XDR incidenstulajdonságokról, beleértve a tartalmazott riasztások és a bizonyítékok entitásainak metaadatait, lásd: Sémaleképezés.
Splunk
A Microsoft Security új, teljes körűen támogatott Splunk bővítményének használata, amely a következőket támogatja:
A Splunk Common Information Modelre (CIM) leképezett következő termékek riasztásait tartalmazó incidensek betöltése:
- Microsoft Defender XDR
- Végponthoz készült Microsoft Defender
- A Microsoft Defender for Identity és a Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
Végponthoz készült Defender-riasztások betöltése (a Végponthoz készült Defender Azure-végpontjáról) és a riasztások frissítése
A Microsoft Defender XDR incidensek és/vagy a Végponthoz készült Microsoft Defender-riasztások és a megfelelő irányítópultok frissítésének támogatása átkerült a Microsoft 365 Splunk-alkalmazásba.
További információ:
A Microsoft Security Splunk bővítménye, lásd: Microsoft Security Bővítmény a Splunkbase-ben
A Splunkhoz készült Microsoft 365 Alkalmazás, lásd a Microsoft 365 alkalmazást a Splunkbase-en
Micro Focus ArcSight
Az új SmartConnector for Microsoft Defender XDR az ArcSightba betölti az incidenseket, és leképezi őket a Common Event Frameworkre (CEF).
A Microsoft Defender XDR-hez készült Új ArcSight SmartConnectorról további információt az ArcSight termékdokumentációjában talál.
A SmartConnector lecseréli a végponthoz készült Microsoft Defender előző FlexConnector eszközét, amely már ki lett vonva.
Rugalmas
Az Elastic Security egyetlen megoldásban egyesíti a SIEM fenyegetésészlelési funkcióit a végpontmegelőző és a válaszképességekkel. A Microsoft Defender XDR és a Végponthoz készült Defender rugalmas integrációja lehetővé teszi a szervezetek számára, hogy a Defender incidenseit és riasztásait használják az Elastic Securityben a vizsgálatok és incidensmegoldások végrehajtásához. A elastic ezeket az adatokat más adatforrásokkal, köztük felhőbeli, hálózati és végpontforrásokkal is korrelálja robusztus észlelési szabályokkal a fenyegetések gyors megtalálásához. További információ az Elastic-összekötőről: Microsoft M365 Defender | Rugalmas dokumentumok
Streamelési eseményadatok betöltése az Event Hubson keresztül
Először streamelnie kell az eseményeket a Microsoft Entra-bérlőből az Event Hubsba vagy az Azure Storage-fiókba. További információ: Streaming API.
A Streaming API által támogatott eseménytípusokkal kapcsolatos további információkért lásd: Támogatott streamelési eseménytípusok.
Splunk
A Microsoft Cloud Services Splunk bővítményével eseményeket vehet fel az Azure Event Hubsból.
A Microsoft Cloud Services Splunk bővítményével kapcsolatos további információkért tekintse meg a Microsoft Cloud Services bővítményt a Splunkbase-ben.
IBM QRadar
Használja az új IBM QRadar Microsoft Defender XDR eszköztámogatási modult (DSM), amely meghívja a Microsoft Defender XDR streaming API-t , amely lehetővé teszi streamelési eseményadatok betöltését a Microsoft Defender XDR-termékekből az Event Hubs vagy az Azure Storage-fiók használatával. További információ a támogatott eseménytípusokról: Támogatott eseménytípusok.
Rugalmas
Az Elastic Streaming API integrációjával kapcsolatos további információkért lásd: Microsoft M365 Defender | Rugalmas dokumentumok.
Kapcsolódó cikkek
A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: