Integrare gli strumenti SIEM con Microsoft 365 Defender

Si applica a:

• Microsoft Defender per endpoint
• Microsoft 365 Defender

Nota

Provare le nuove API usando l'API di sicurezza di MS Graph. Per altre informazioni, vedere: Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn.

Eseguire il pull di eventi imprevisti Microsoft 365 Defender e di streaming dei dati degli eventi usando gli strumenti di gestione delle informazioni di sicurezza e degli eventi (SIEM)

Nota

• Microsoft 365 Defender Eventi imprevisti è costituito da raccolte di avvisi correlati e dalle relative evidenze.
• Microsoft 365 Defender L'API streaming trasmette i dati degli eventi da Microsoft 365 Defender a hub eventi o account di archiviazione di Azure.

Microsoft 365 Defender supporta gli strumenti siem (Security Information and Event Management) che inserino informazioni dal tenant aziendale in Azure Active Directory (AAD) usando il protocollo di autenticazione OAuth 2.0 per un'applicazione AAD registrata che rappresenta la soluzione o il connettore SIEM specifico installato nell'ambiente.

Per ulteriori informazioni, vedere:

• Microsoft 365 Defender licenza e condizioni per l'utilizzo delle API
• Accedere alle API Microsoft 365 Defender
• Esempio Hello World
• Ottenere l'accesso con il contesto delle applicazioni

Esistono due modelli principali per inserire le informazioni di sicurezza:

1. Inserimento di eventi imprevisti Microsoft 365 Defender e dei relativi avvisi contenuti da un'API REST in Azure.

2. Inserimento dei dati degli eventi di streaming tramite Hub eventi di Azure o account di archiviazione di Azure.

Microsoft 365 Defender supporta attualmente le integrazioni di soluzioni SIEM seguenti:

• Inserimento di eventi imprevisti dall'API REST eventi imprevisti
• Inserimento dei dati degli eventi di streaming tramite Hub eventi

Inserimento di eventi imprevisti dall'API REST eventi imprevisti

Schema degli eventi imprevisti

Per altre informazioni sulle proprietà Microsoft 365 Defender evento imprevisto, inclusi i metadati delle entità di avviso e di evidenza contenute, vedere Mapping dello schema.

Splunk

Uso del nuovo componente aggiuntivo Splunk completamente supportato per Microsoft Security che supporta:

• Inserimento di eventi imprevisti che contengono avvisi dei prodotti seguenti, mappati al modello CIM (Common Information Model) di Splunk:

  • Microsoft 365 Defender
  • Microsoft Defender per endpoint
  • Microsoft Defender per identità e Azure Active Directory Identity Protection
  • Microsoft Defender for Cloud Apps

• Inserimento degli avvisi di Defender per endpoint (dall'endpoint di Azure di Defender per endpoint) e aggiornamento di questi avvisi

• Il supporto per l'aggiornamento Microsoft 365 Defender Eventi imprevisti e/o avvisi Microsoft Defender per endpoint e i rispettivi dashboard sono stati spostati nell'app Microsoft 365 per Splunk.

Per altre informazioni su:

• Componente aggiuntivo Splunk per Microsoft Security, vedere il componente aggiuntivo microsoft per la sicurezza in Splunkbase

• App Microsoft 365 per Splunk, vedere l'app Microsoft 365 in Splunkbase

Micro Focus ArcSight

Il nuovo SmartConnector per Microsoft 365 Defender inserisce gli eventi imprevisti in ArcSight e ne esegue il mapping al relativo Common Event Framework (CEF).

Per altre informazioni sul nuovo ArcSight SmartConnector per Microsoft 365 Defender, vedere la documentazione del prodotto ArcSight.

SmartConnector sostituisce il precedente FlexConnector per Microsoft Defender per endpoint deprecato.

Elastico

La sicurezza elastica combina le funzionalità di rilevamento delle minacce SIEM con le funzionalità di prevenzione e risposta degli endpoint in un'unica soluzione. L'integrazione elastica per Microsoft 365 Defender e Defender per endpoint consente alle organizzazioni di sfruttare gli eventi imprevisti e gli avvisi di Defender all'interno di Elastic Security per eseguire indagini e risposte agli eventi imprevisti. Elastic correla questi dati con altre origini dati, tra cui le origini cloud, di rete e di endpoint, usando regole di rilevamento affidabili per trovare rapidamente le minacce. Per altre informazioni sul connettore elastico, vedere: Microsoft M365 Defender | Documentazione elastica

Inserimento dei dati degli eventi di streaming tramite Hub eventi

Prima di tutto è necessario trasmettere gli eventi dal tenant di Azure AD all'hub eventi o all'account di archiviazione di Azure. Per altre informazioni, vedere API di streaming.

Per altre informazioni sui tipi di evento supportati dall'API di streaming, vedere Tipi di evento di streaming supportati.

Splunk

Usare il componente aggiuntivo Splunk per Microsoft Servizi cloud per inserire eventi da Hub eventi di Azure.

Per altre informazioni sul componente aggiuntivo Splunk per Microsoft Servizi cloud, vedere il componente aggiuntivo Microsoft Servizi cloud su Splunkbase.

IBM QRadar

Usare il nuovo modulo ibm QRadar Microsoft 365 Defender device support module (DSM) che chiama l'API di streaming Microsoft 365 Defender che consente di inserire i dati degli eventi di streaming dai prodotti Microsoft 365 Defender tramite Hub eventi o account di archiviazione di Azure. Per altre informazioni sui tipi di evento supportati, vedere Tipi di evento supportati.

Elastico

Per altre informazioni sull'integrazione dell'API di streaming elastico, vedere Microsoft M365 Defender | Documentazione elastica.

Articoli correlati

Usare l'API di sicurezza Microsoft Graph - Microsoft Graph | Microsoft Learn