Integrer SIEM-verktøyene med Microsoft Defender XDR
Gjelder for:
Hente Microsoft Defender XDR-hendelser og data om strømming av hendelser ved hjelp av siem-verktøy (security information and events management)
Obs!
- Microsoft Defender XDR-hendelser består av samlinger av korrelerte varsler og deres bevis.
- Microsoft Defender XDR Streaming API strømmer hendelsesdata fra Microsoft Defender XDR til hendelseshuber eller Azure-lagringskontoer.
Microsoft Defender XDR støtter siem-verktøy (Security Information and Event Management) som inntar informasjon fra bedriftsleieren i Microsoft Entra ID ved hjelp av OAuth 2.0-godkjenningsprotokollen for et registrert Microsoft Entra-program som representerer den spesifikke SIEM-løsningen eller -koblingen som er installert i miljøet ditt.
Hvis du vil ha mer informasjon, kan du se:
- Microsoft Defender XDR API-lisens og vilkår for bruk
- Få tilgang til Microsoft Defender XDR-API-er
- Hello World-eksempel
- Få tilgang med programkontekst
Det finnes to primære modeller for å ta inn sikkerhetsinformasjon:
Inntak av Microsoft Defender XDR-hendelser og deres inneholdt varsler fra en REST-API i Azure.
Inntak av data for strømming av hendelser, enten via Azure Event Hubs eller Azure Storage-kontoer.
Microsoft Defender XDR støtter for øyeblikket følgende SIEM-løsningsintegrasjoner:
Inntak av hendelser fra hendelser REST API
Hendelsesskjema
Hvis du vil ha mer informasjon om hendelsesegenskaper for Microsoft Defender XDR, inkludert inneholdt metadata for varslings- og bevisenheter, kan du se Skjematilordning.
Splunk
Bruke det nye, fullstendig støttede Splunk-tillegget for Microsoft Security som støtter:
Inntak av hendelser som inneholder varsler fra følgende produkter, som er tilordnet Splunks Common Information Model (CIM):
- Microsoft Defender XDR
- Microsoft Defender for endepunkt
- Microsoft Defender for Identity og Microsoft Entra ID Protection
- Microsoft Defender for skyapper
Inntak av Defender for endepunktvarsler (fra Defender for endepunktets Azure-endepunkt) og oppdatering av disse varslene
Støtte for oppdatering av Microsoft Defender XDR-hendelser og/eller Microsoft Defender for endepunktvarsler og de respektive instrumentbordene er flyttet til Microsoft 365-appen for Splunk.
Hvis du vil ha mer informasjon om:
Splunk-tillegget for Microsoft Security, se Microsoft Security-tillegget på Splunkbase
Microsoft 365-appen for Splunk, se Microsoft 365-appen på Splunkbase
Micro Focus ArcSight
Den nye SmartConnector for Microsoft Defender XDR inntar hendelser i ArcSight og tilordner disse til Common Event Framework (CEF).
Hvis du vil ha mer informasjon om den nye ArcSight SmartConnector for Microsoft Defender XDR, kan du se ArcSight-produktdokumentasjon.
SmartConnector erstatter den forrige FlexConnector for Microsoft Defender for endepunkt som nå er trukket tilbake.
Elastisk
Elastic Security kombinerer SIEM-funksjoner for trusselregistrering med endepunktshindring og responsfunksjoner i én løsning. Elastic-integreringen for Microsoft Defender XDR og Defender for Endpoint gjør det mulig for organisasjoner å dra nytte av hendelser og varsler fra Defender innen Elastic Security for å utføre undersøkelser og hendelsesrespons. Elastisk korrelerer disse dataene med andre datakilder, inkludert sky-, nettverks- og endepunktkilder som bruker robuste gjenkjenningsregler til å finne trusler raskt. Hvis du vil ha mer informasjon om Elastic-koblingen, kan du se: Microsoft M365 Defender | Elastiske dokumenter
Inntak av data for strømming av hendelser via Event Hubs
Først må du strømme hendelser fra Microsoft Entra-leieren til Event Hubs eller Azure Storage Account. Hvis du vil ha mer informasjon, kan du se Strømming av API.
Hvis du vil ha mer informasjon om hendelsestypene som støttes av API-en for strømming, kan du se hendelsestyper for støttet strømming.
Splunk
Bruk Splunk-tillegget for Microsoft Cloud Services til å ta inn hendelser fra Azure Event Hubs.
Hvis du vil ha mer informasjon om Splunk-tillegget for Microsoft Cloud Services, kan du se Microsoft Cloud Services-tillegget på Splunkbase.
IBM QRadar
Bruk den nye IBM QRadar Microsoft Defender XDR-enhetsstøttemodulen (DSM) som kaller Opp Microsoft Defender XDR Streaming API som tillater inntak av hendelsesdata for strømming fra Microsoft Defender XDR-produkter via Event Hubs eller Azure Storage Account. Hvis du vil ha mer informasjon om støttede hendelsestyper, kan du se Støttede hendelsestyper.
Elastisk
Hvis du vil ha mer informasjon om API-integrering av elastisk strømming, kan du se Microsoft M365 Defender | Elastiske dokumenter.
Relaterte artikler
Bruk Microsoft Graph-sikkerhets-API -en – Microsoft Graph | Microsoft Learn
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.