A SIEM-eszközök integrálása a Microsoft 365 Defenderrel

  • Cikk
  • 2 perc alatt elolvasható

Érintett szolgáltatás:

Megjegyzés:

Próbálja ki az új API-kat az MS Graph security API használatával. További információ: A Microsoft Graph security API használata – Microsoft Graph bétaverziós | Microsoft Learn.

Microsoft 365 Defender incidensek és streamelési események adatainak lekérése biztonsági információk és események kezelése (SIEM) eszközeivel

Megjegyzés:

Microsoft 365 Defender támogatja azokat a biztonsági információkat és eseményeket kezelő (SIEM) eszközöket, amelyek az Azure Active Directoryban (AAD) lévő vállalati bérlőtől származó adatokat az OAuth 2.0 hitelesítési protokoll használatával egy, a környezetben telepített SIEM-megoldást vagy összekötőt képviselő regisztrált AAD-alkalmazáshoz használják.

További információ:

A biztonsági adatok betöltéséhez két elsődleges modell létezik:

  1. Microsoft 365 Defender incidensek és azok tartalmazott riasztásainak betöltése egy REST API-ból az Azure-ban.

  2. Streamelési eseményadatok betöltése Azure Event Hubs vagy Azure Storage-fiókokon keresztül.

Microsoft 365 Defender jelenleg a következő SIEM-megoldásintegrációkat támogatja:

Incidensek betöltése az incidensek REST API-jából

Incidensséma

Az Microsoft 365 Defender incidenstulajdonságokról, beleértve a tartalmazott riasztások és a bizonyítékok entitásainak metaadatait, lásd: Sémaleképezés.

Splunk

Az új, teljes körűen támogatott Splunk-bővítmény használata Microsoft Securityhez, amely támogatja a következőket:

  • A Splunk Common Information Modelre (CIM) leképezett következő termékek riasztásait tartalmazó incidensek betöltése:

    • Microsoft 365 Defender
    • Végponthoz készült Microsoft Defender
    • Microsoft Defender for Identity és Azure Active Directory Identity Protection
    • Microsoft Defender for Cloud Apps

  • Végponthoz készült Defender-riasztások betöltése (a Végponthoz készült Defender Azure-végpontjáról) és a riasztások frissítése

  • A Microsoft 365 Defender incidensek és/vagy Végponthoz készült Microsoft Defender riasztások és a megfelelő irányítópultok frissítésének támogatása átkerült a Microsoft 365 Splunk-alkalmazásba.

További információ:

Micro Focus ArcSight

Az új SmartConnector a Microsoft 365 Defender az incidenseket az ArcSightba betölti, és leképezi őket a Common Event Frameworkre (CEF).

Az új ArcSight SmartConnector for Microsoft 365 Defender-ről további információt az ArcSight termékdokumentációjában talál.

A SmartConnector az elavult Végponthoz készült Microsoft Defender lecseréli az előző FlexConnectort.

Streamelési eseményadatok betöltése az Event Hubson keresztül

Először streamelnie kell az eseményeket az AAD-bérlőből az Event Hubsba vagy az Azure Storage-fiókba. További információ: Streaming API.

A Streaming API által támogatott eseménytípusokkal kapcsolatos további információkért lásd: Támogatott streamelési eseménytípusok.

Splunk

Használja a Splunk bővítményt Microsoft Cloud Services Azure Event Hubs eseményeinek betöltéséhez.

A Microsoft Cloud Services-hez készült Splunk bővítményről további információt a Microsoft Cloud Services Bővítmény a Splunkbase-ben című témakörben talál.

IBM QRadar

Használja az új IBM QRadar Microsoft 365 Defender eszköztámogatási modult (DSM), amely meghívja a Microsoft 365 Defender Streaming API-t, amely lehetővé teszi Microsoft 365 Defender termékek streamelési eseményadatainak betöltését az Event Hubs vagy az Azure Storage-fiók használatával. További információ a támogatott eseménytípusokról: Támogatott eseménytípusok.

A Microsoft Graph security API használata – Microsoft Graph bétaverziós | Microsoft Learn