Integrare gli strumenti SIEM con Microsoft Defender XDR
Si applica a:
Nota
Provare le nuove API usando l'API di sicurezza di MS Graph. Per altre informazioni, vedere: Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn.
Eseguire il pull di eventi imprevisti Microsoft Defender XDR e di streaming dei dati degli eventi usando gli strumenti di gestione delle informazioni di sicurezza e degli eventi (SIEM)
Nota
- Microsoft Defender XDR Eventi imprevisti è costituito da raccolte di avvisi correlati e dalle relative evidenze.
- Microsoft Defender XDR'API streaming trasmette i dati degli eventi da Microsoft Defender XDR a hub eventi o account di archiviazione di Azure.
Microsoft Defender XDR supporta gli strumenti di gestione delle informazioni di sicurezza e degli eventi (SIEM) che inserino informazioni dal tenant aziendale in Microsoft Entra ID usando il protocollo di autenticazione OAuth 2.0 per un'applicazione Microsoft Entra registrata che rappresenta la soluzione o il connettore SIEM specifico installato nell'utente Ambiente.
Per ulteriori informazioni consulta:
- Microsoft Defender XDR licenza e condizioni per l'utilizzo delle API
- Accedere alle API Microsoft Defender XDR
- Esempio Hello World
- Ottenere l'accesso con il contesto delle applicazioni
Esistono due modelli principali per inserire le informazioni di sicurezza:
Inserimento di eventi imprevisti Microsoft Defender XDR e dei relativi avvisi contenuti da un'API REST in Azure.
Inserimento dei dati degli eventi di streaming tramite Hub eventi di Azure o account di archiviazione di Azure.
Microsoft Defender XDR supporta attualmente le integrazioni di soluzioni SIEM seguenti:
- Inserimento di eventi imprevisti dall'API REST eventi imprevisti
- Inserimento dei dati degli eventi di streaming tramite Hub eventi
Inserimento di eventi imprevisti dall'API REST eventi imprevisti
Schema degli eventi imprevisti
Per altre informazioni sulle proprietà Microsoft Defender XDR evento imprevisto, inclusi i metadati delle entità di avviso e di evidenza contenute, vedere Mapping dello schema.
Splunk
Uso del nuovo componente aggiuntivo Splunk completamente supportato per Microsoft Security che supporta:
Inserimento di eventi imprevisti che contengono avvisi dei prodotti seguenti, mappati al modello CIM (Common Information Model) di Splunk:
- Microsoft Defender XDR
- Microsoft Defender per endpoint
- Microsoft Defender per identità e Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
Inserimento degli avvisi di Defender per endpoint (dall'endpoint di Azure di Defender per endpoint) e aggiornamento di questi avvisi
Il supporto per l'aggiornamento Microsoft Defender XDR eventi imprevisti e/o avvisi Microsoft Defender per endpoint e i rispettivi dashboard sono stati spostati nell'app Microsoft 365 per Splunk.
Per altre informazioni su:
Componente aggiuntivo Splunk per Microsoft Security, vedere il componente aggiuntivo microsoft per la sicurezza in Splunkbase
App Microsoft 365 per Splunk, vedere l'app Microsoft 365 in Splunkbase
Micro Focus ArcSight
Il nuovo SmartConnector per Microsoft Defender XDR inserisce gli eventi imprevisti in ArcSight e ne esegue il mapping al relativo Common Event Framework (CEF).
Per altre informazioni sul nuovo ArcSight SmartConnector per Microsoft Defender XDR, vedere La documentazione del prodotto ArcSight.
SmartConnector sostituisce il precedente FlexConnector per Microsoft Defender per endpoint deprecato.
Elastico
La sicurezza elastica combina le funzionalità di rilevamento delle minacce SIEM con le funzionalità di prevenzione e risposta degli endpoint in un'unica soluzione. L'integrazione elastica per Microsoft Defender XDR e Defender per endpoint consente alle organizzazioni di sfruttare gli eventi imprevisti e gli avvisi di Defender all'interno di Elastic Security per eseguire indagini e risposte agli eventi imprevisti. Elastic correla questi dati con altre origini dati, incluse le origini cloud, di rete e di endpoint, usando regole di rilevamento affidabili per trovare rapidamente le minacce. Per altre informazioni sul connettore elastico, vedere: Microsoft M365 Defender | Documentazione elastica
Inserimento dei dati degli eventi di streaming tramite Hub eventi
Prima di tutto è necessario trasmettere gli eventi dal tenant Microsoft Entra all'hub eventi o all'account di archiviazione di Azure. Per altre informazioni, vedere API di streaming.
Per altre informazioni sui tipi di evento supportati dall'API di streaming, vedere Tipi di evento di streaming supportati.
Splunk
Usare il componente aggiuntivo Splunk per Microsoft Servizi cloud per inserire eventi da Hub eventi di Azure.
Per altre informazioni sul componente aggiuntivo Splunk per Microsoft Servizi cloud, vedere il componente aggiuntivo Microsoft Servizi cloud su Splunkbase.
IBM QRadar
Usare il nuovo modulo DSM (Device Support Module) di IBM QRadar Microsoft Defender XDR che chiama l'API di streaming Microsoft Defender XDR che consente di inserire i dati degli eventi di streaming da prodotti Microsoft Defender XDR tramite Hub eventi o Account di archiviazione di Azure. Per altre informazioni sui tipi di evento supportati, vedere Tipi di evento supportati.
Elastico
Per altre informazioni sull'integrazione dell'API di streaming elastico, vedere Microsoft M365 Defender | Documentazione elastica.
Articoli correlati
Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per