Del via


Integrer SIEM-verktøyene med Microsoft Defender XDR

Gjelder for:

Hente Microsoft Defender XDR-hendelser og data om strømming av hendelser ved hjelp av siem-verktøy (security information and events management)

Obs!

Microsoft Defender XDR støtter siem-verktøy (Security Information and Event Management) som inntar informasjon fra bedriftsleieren i Microsoft Entra ID ved hjelp av OAuth 2.0-godkjenningsprotokollen for et registrert Microsoft Entra-program som representerer den spesifikke SIEM-løsningen eller -koblingen som er installert i miljøet ditt.

Hvis du vil ha mer informasjon, kan du se:

Det finnes to primære modeller for å ta inn sikkerhetsinformasjon:

  1. Inntak av Microsoft Defender XDR-hendelser og deres inneholdt varsler fra en REST-API i Azure.

  2. Inntak av data for strømming av hendelser, enten via Azure Event Hubs eller Azure Storage-kontoer.

Microsoft Defender XDR støtter for øyeblikket følgende SIEM-løsningsintegrasjoner:

Inntak av hendelser fra hendelser REST API

Hendelsesskjema

Hvis du vil ha mer informasjon om hendelsesegenskaper for Microsoft Defender XDR, inkludert inneholdt metadata for varslings- og bevisenheter, kan du se Skjematilordning.

Splunk

Bruke det nye, fullstendig støttede Splunk-tillegget for Microsoft Security som støtter:

  • Inntak av hendelser som inneholder varsler fra følgende produkter, som er tilordnet Splunks Common Information Model (CIM):

    • Microsoft Defender XDR
    • Microsoft Defender for endepunkt
    • Microsoft Defender for Identity og Microsoft Entra ID Protection
    • Microsoft Defender for skyapper
  • Inntak av Defender for endepunktvarsler (fra Defender for endepunktets Azure-endepunkt) og oppdatering av disse varslene

  • Støtte for oppdatering av Microsoft Defender XDR-hendelser og/eller Microsoft Defender for endepunktvarsler og de respektive instrumentbordene er flyttet til Microsoft 365-appen for Splunk.

Hvis du vil ha mer informasjon om:

Micro Focus ArcSight

Den nye SmartConnector for Microsoft Defender XDR inntar hendelser i ArcSight og tilordner disse til Common Event Framework (CEF).

Hvis du vil ha mer informasjon om den nye ArcSight SmartConnector for Microsoft Defender XDR, kan du se ArcSight-produktdokumentasjon.

SmartConnector erstatter den forrige FlexConnector for Microsoft Defender for endepunkt som nå er trukket tilbake.

Elastisk

Elastic Security kombinerer SIEM-funksjoner for trusselregistrering med endepunktshindring og responsfunksjoner i én løsning. Elastic-integreringen for Microsoft Defender XDR og Defender for Endpoint gjør det mulig for organisasjoner å dra nytte av hendelser og varsler fra Defender innen Elastic Security for å utføre undersøkelser og hendelsesrespons. Elastisk korrelerer disse dataene med andre datakilder, inkludert sky-, nettverks- og endepunktkilder som bruker robuste gjenkjenningsregler til å finne trusler raskt. Hvis du vil ha mer informasjon om Elastic-koblingen, kan du se: Microsoft M365 Defender | Elastiske dokumenter

Inntak av data for strømming av hendelser via Event Hubs

Først må du strømme hendelser fra Microsoft Entra-leieren til Event Hubs eller Azure Storage Account. Hvis du vil ha mer informasjon, kan du se Strømming av API.

Hvis du vil ha mer informasjon om hendelsestypene som støttes av API-en for strømming, kan du se hendelsestyper for støttet strømming.

Splunk

Bruk Splunk-tillegget for Microsoft Cloud Services til å ta inn hendelser fra Azure Event Hubs.

Hvis du vil ha mer informasjon om Splunk-tillegget for Microsoft Cloud Services, kan du se Microsoft Cloud Services-tillegget på Splunkbase.

IBM QRadar

Bruk den nye IBM QRadar Microsoft Defender XDR-enhetsstøttemodulen (DSM) som kaller Opp Microsoft Defender XDR Streaming API som tillater inntak av hendelsesdata for strømming fra Microsoft Defender XDR-produkter via Event Hubs eller Azure Storage Account. Hvis du vil ha mer informasjon om støttede hendelsestyper, kan du se Støttede hendelsestyper.

Elastisk

Hvis du vil ha mer informasjon om API-integrering av elastisk strømming, kan du se Microsoft M365 Defender | Elastiske dokumenter.

Bruk Microsoft Graph-sikkerhets-API -en – Microsoft Graph | Microsoft Learn

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.