Uw SIEM-hulpprogramma's integreren met Microsoft Defender XDR

Van toepassing op:

Opmerking

Probeer onze nieuwe API's met behulp van de MS Graph-beveiligings-API. Meer informatie vindt u op: De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn.

Pull-Microsoft Defender XDR-incidenten en streaming-gebeurtenisgegevens met behulp van SIEM-hulpprogramma's (Security Information and Events Management)

Opmerking

Microsoft Defender XDR ondersteunt SIEM-hulpprogramma's (Security Information and Event Management) die gegevens opnemen uit uw bedrijfstenant in Microsoft Entra-id met behulp van het OAuth 2.0-verificatieprotocol voor een geregistreerde Microsoft Entra-toepassing die de specifieke SIEM-oplossing of connector vertegenwoordigt die in uw omgeving is geïnstalleerd.

Zie voor meer informatie:

Er zijn twee primaire modellen om beveiligingsgegevens op te nemen:

  1. Het opnemen van Microsoft Defender XDR incidenten en de bijbehorende waarschuwingen van een REST API in Azure.

  2. Streaminggebeurtenisgegevens opnemen via Azure Event Hubs- of Azure Storage-accounts.

Microsoft Defender XDR ondersteunt momenteel de volgende SIEM-oplossingsintegraties:

Incidenten opnemen uit de REST API voor incidenten

Incidentschema

Zie Schematoewijzing voor meer informatie over Microsoft Defender XDR incidenteigenschappen, waaronder metagegevens van ingesloten waarschuwings- en bewijsentiteiten.

Splunk

De nieuwe, volledig ondersteunde Splunk-invoegtoepassing voor Microsoft Security gebruiken die ondersteuning biedt voor:

  • Het opnemen van incidenten die waarschuwingen van de volgende producten bevatten, die zijn toegewezen aan het Common Information Model (CIM) van Splunk:

    • Microsoft Defender XDR
    • Microsoft Defender voor Eindpunt
    • Microsoft Defender for Identity en Microsoft Entra ID Protection
    • Microsoft Defender for Cloud Apps
  • Defender voor Eindpunt-waarschuwingen opnemen (van het Azure-eindpunt van Defender voor Eindpunt) en deze waarschuwingen bijwerken

  • Ondersteuning voor het bijwerken van Microsoft Defender XDR incidenten en/of Microsoft Defender voor Eindpunt waarschuwingen en de respectieve dashboards is verplaatst naar de Microsoft 365-app voor Splunk.

Voor meer informatie over:

Micro Focus ArcSight

De nieuwe SmartConnector voor Microsoft Defender XDR neemt incidenten op in ArcSight en wijst deze toe aan het Common Event Framework (CEF).

Zie ArcSight-productdocumentatie voor meer informatie over de nieuwe ArcSight SmartConnector voor Microsoft Defender XDR.

De SmartConnector vervangt de vorige FlexConnector voor Microsoft Defender voor Eindpunt die is afgeschaft.

Elastische

Elastic Security combineert SIEM-functies voor bedreigingsdetectie met eindpuntpreventie en responsmogelijkheden in één oplossing. Met de elastische integratie voor Microsoft Defender XDR en Defender voor Eindpunt kunnen organisaties incidenten en waarschuwingen van Defender binnen Elastic Security gebruiken om onderzoeken en reacties op incidenten uit te voeren. Elastisch correleert deze gegevens met andere gegevensbronnen, waaronder cloud-, netwerk- en eindpuntbronnen met behulp van robuuste detectieregels om bedreigingen snel te vinden. Zie voor meer informatie over de elastische connector: Microsoft M365 Defender | Elastische documenten

Streaminggebeurtenisgegevens opnemen via Event Hubs

Eerst moet u gebeurtenissen streamen van uw Microsoft Entra tenant naar uw Event Hubs- of Azure Storage-account. Zie Streaming-API voor meer informatie.

Zie Ondersteunde typen streaming-gebeurtenissen voor meer informatie over de gebeurtenistypen die worden ondersteund door de Streaming-API.

Splunk

Gebruik de Splunk-invoegtoepassing voor Microsoft Cloud Services om gebeurtenissen uit Azure Event Hubs op te nemen.

Zie de Microsoft Cloud Services-invoegtoepassing op Splunkbase voor meer informatie over de Splunk-invoegtoepassing voor Microsoft Cloud Services.

IBM QRadar

Gebruik de nieuwe IBM QRadar Microsoft Defender XDR Device Support Module (DSM) die de Microsoft Defender XDR Streaming-API aanroept waarmee streaminggebeurtenisgegevens van Microsoft Defender XDR producten kunnen worden opgenomen via Event Hubs of Azure Storage-account. Zie Ondersteunde gebeurtenistypen voor meer informatie over ondersteunde gebeurtenistypen.

Elastische

Zie Microsoft M365 Defender | Elastische documenten.

De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.