A SIEM-eszközök integrálása a Microsoft Defender XDR-rel
Érintett szolgáltatás:
Megjegyzés:
Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn.
Microsoft Defender XDR incidensek és streamelési események adatainak lekérése biztonsági információk és események kezelése (SIEM) eszközeivel
Megjegyzés:
- Microsoft Defender XDR Incidensek korrelált riasztások gyűjteményéből és azok bizonyítékaiból tevődnek össze.
- Microsoft Defender XDR Streaming API eseményadatokat streamel Microsoft Defender XDR eseményközpontokba vagy Azure Storage-fiókokba.
Microsoft Defender XDR támogatja azokat a biztonsági információkat és eseménykezelési (SIEM) eszközöket, amelyek Microsoft Entra ID a vállalati bérlőtől származó adatokat az OAuth 2.0 hitelesítési protokoll használatával használják egy regisztrált Microsoft Entra alkalmazáshoz, amely a telepített SIEM-megoldást vagy összekötőt képviseli Környezet.
További információ:
- MICROSOFT DEFENDER XDR API-k licence és használati feltételei
- Az Microsoft Defender XDR API-k elérése
- Hello World példa
- Hozzáférés alkalmazáskörnyezettel
A biztonsági adatok betöltéséhez két elsődleges modell létezik:
Microsoft Defender XDR incidensek és azok tartalmazott riasztásainak betöltése egy REST API-ból az Azure-ban.
Streamelési eseményadatok betöltése Azure Event Hubs vagy Azure Storage-fiókokon keresztül.
Microsoft Defender XDR jelenleg a következő SIEM-megoldásintegrációkat támogatja:
- Incidensek betöltése az incidensek REST API-jából
- Streamelési eseményadatok betöltése az Event Hubon keresztül
Incidensek betöltése az incidensek REST API-jából
Incidensséma
Az Microsoft Defender XDR incidenstulajdonságokról, beleértve a tartalmazott riasztások és a bizonyítékok entitásainak metaadatait, lásd: Sémaleképezés.
Splunk
A Microsoft Security új, teljes körűen támogatott Splunk bővítményének használata, amely a következőket támogatja:
A Splunk Common Information Modelre (CIM) leképezett következő termékek riasztásait tartalmazó incidensek betöltése:
- Microsoft Defender XDR
- Végponthoz készült Microsoft Defender
- Microsoft Defender for Identity és Microsoft Entra ID-védelem
- Microsoft Defender for Cloud Apps
Végponthoz készült Defender-riasztások betöltése (a Végponthoz készült Defender Azure-végpontjáról) és a riasztások frissítése
A Microsoft Defender XDR incidensek és/vagy Végponthoz készült Microsoft Defender riasztások és a megfelelő irányítópultok frissítésének támogatása átkerült a Microsoft 365 Splunk alkalmazásba.
További információ:
A Microsoft Security Splunk bővítménye, lásd: Microsoft Security Bővítmény a Splunkbase-ben
A Splunkhoz készült Microsoft 365 Alkalmazás, lásd a Microsoft 365 alkalmazást a Splunkbase-en
Micro Focus ArcSight
Az új SmartConnector Microsoft Defender XDR az incidenseket az ArcSightba betölti, és leképezi őket a Common Event Frameworkre (CEF).
Az új ArcSight SmartConnector for Microsoft Defender XDR-ről további információt az ArcSight termékdokumentációjában talál.
A SmartConnector az elavult Végponthoz készült Microsoft Defender lecseréli az előző FlexConnectort.
Rugalmas
Az Elastic Security egyetlen megoldásban egyesíti a SIEM fenyegetésészlelési funkcióit a végpontmegelőző és a válaszképességekkel. A Microsoft Defender XDR és a Végponthoz készült Defender rugalmas integrációja lehetővé teszi a szervezetek számára, hogy a Defender incidenseit és riasztásait használják ki az Elastic Securityben a vizsgálatok és incidensmegoldások végrehajtásához. A elastic ezeket az adatokat más adatforrásokkal, köztük felhőbeli, hálózati és végpontforrásokkal is korrelálja robusztus észlelési szabályokkal a fenyegetések gyors megtalálásához. További információ az Elastic-összekötőről: Microsoft M365 Defender | Rugalmas dokumentumok
Streamelési eseményadatok betöltése az Event Hubson keresztül
Először streamelnie kell az eseményeket a Microsoft Entra bérlőből az Event Hubsba vagy az Azure Storage-fiókba. További információ: Streaming API.
A Streaming API által támogatott eseménytípusokkal kapcsolatos további információkért lásd: Támogatott streamelési eseménytípusok.
Splunk
A Microsoft Cloud Services Splunk bővítményével Azure Event Hubs eseményeit is betölthet.
A Microsoft Cloud Services-hez készült Splunk bővítményről a Microsoft Cloud Services Bővítmény a Splunkbase-ben című cikkben talál további információt.
IBM QRadar
Használja az új IBM QRadar Microsoft Defender XDR eszköztámogatási modult (DSM), amely meghívja a Microsoft Defender XDR Streaming API-t, amely lehetővé teszi Microsoft Defender XDR termékek streamelési eseményadatainak betöltését az Event Hubson vagy az Azure Storage-fiókon keresztül. További információ a támogatott eseménytípusokról: Támogatott eseménytípusok.
Rugalmas
Az Elastic Streaming API integrációjával kapcsolatos további információkért lásd: Microsoft M365 Defender | Rugalmas dokumentumok.
Kapcsolódó cikkek
A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: