Integrer SIEM-verktøyene med Microsoft 365 Defender

Gjelder for:

Obs!

Prøv våre nye API-er ved hjelp av MS Graph-sikkerhets-API. Finn ut mer på: Bruk Microsoft Graph security API - Microsoft Graph beta-| Microsoft Learn.

Dra Microsoft 365 Defender hendelser og data om strømming av hendelser ved hjelp av siem-verktøy (security information and events management)

Obs!

Microsoft 365 Defender støtter siem-verktøy (Security Information and Event Management) som inntar informasjon fra bedriftsleieren i Azure Active Directory (AAD) ved hjelp av OAuth 2.0-godkjenningsprotokollen for et registrert AAD-program som representerer den spesifikke SIEM-løsningen eller koblingen som er installert i miljøet ditt.

Hvis du vil ha mer informasjon, kan du se:

Det finnes to primære modeller for å ta inn sikkerhetsinformasjon:

  1. Inntak Microsoft 365 Defender hendelser og deres inneholdt varsler fra en REST-API i Azure.

  2. Inntak av data for strømming av hendelser, enten via Azure Event Hubs eller Azure Storage-kontoer.

Microsoft 365 Defender støtter for øyeblikket følgende SIEM-løsningsintegrasjoner:

Inntak av hendelser fra hendelser REST API

Hendelsesskjema

Hvis du vil ha mer informasjon om Microsoft 365 Defender hendelsesegenskaper, inkludert inneholdt metadata for varslings- og bevisenheter, kan du se Skjematilordning.

Splunk

Bruke det nye, fullstendig støttede Splunk-tillegget for Microsoft Sikkerhet som støtter:

  • Inntak av hendelser som inneholder varsler fra følgende produkter, som er tilordnet Splunks Common Information Model (CIM):

    • Microsoft 365 Defender
    • Microsoft Defender for endepunkt
    • Microsoft Defender for identitet og Azure Active Directory Identity Protection
    • Microsoft Defender for skyapper
  • Inntak av Defender for endepunktvarsler (fra Defender for endepunktets Azure-endepunkt) og oppdatering av disse varslene

  • Støtte for oppdatering av Microsoft 365 Defender hendelser og/eller Microsoft Defender for endepunkt varsler og de respektive instrumentbordene er flyttet til Microsoft 365-appen for Splunk.

Hvis du vil ha mer informasjon om:

Micro Focus ArcSight

Den nye SmartConnector for Microsoft 365 Defender inntar hendelser i ArcSight og kartlegger disse til Common Event Framework (CEF).

Hvis du vil ha mer informasjon om den nye ArcSight SmartConnector for Microsoft 365 Defender, kan du se ArcSight-produktdokumentasjon.

SmartConnector erstatter den forrige FlexConnector for Microsoft Defender for endepunkt som er avskrevet.

Inntak av data for strømming av hendelser via Event Hubs

Først må du strømme hendelser fra AAD-leieren til Event Hubs eller Azure Storage Account. Hvis du vil ha mer informasjon, kan du se Strømming av API.

Hvis du vil ha mer informasjon om hendelsestypene som støttes av API-en for strømming, kan du se hendelsestyper for støttet strømming.

Splunk

Bruk Splunk-tillegget for Microsoft Cloud Services til å ta inn hendelser fra Azure Event Hubs.

Hvis du vil ha mer informasjon om Splunk-tillegget for Microsoft Cloud Services, kan du se Microsoft Cloud Services tillegget på Splunkbase.

IBM QRadar

Bruk den nye IBM QRadar Microsoft 365 Defender Device Support Module (DSM) som kaller opp Microsoft 365 Defender Streaming API som tillater inntak av data for strømming av hendelser fra Microsoft 365 Defender produkter via Event Hubs eller Azure Storage Account. Hvis du vil ha mer informasjon om støttede hendelsestyper, kan du se Støttede hendelsestyper.

Bruk Microsoft Graph-sikkerhets-API- Microsoft Graph beta-| Microsoft Learn