Uw SIEM-hulpprogramma's integreren met Microsoft Defender XDR
Van toepassing op:
Microsoft Defender XDR-incidenten en gebeurtenisgegevens streamen met behulp van SIEM-hulpprogramma's (Security Information and Events Management)
Opmerking
- Microsoft Defender XDR-incidenten bestaan uit verzamelingen van gecorreleerde waarschuwingen en hun bewijsmateriaal.
- Microsoft Defender XDR Streaming API streamt gebeurtenisgegevens van Microsoft Defender XDR naar Event Hubs of Azure Storage-accounts.
Microsoft Defender XDR ondersteunt SIEM-hulpprogramma's (Security Information and Event Management) die gegevens van uw enterprise-tenant opnemen in Microsoft Entra ID met behulp van het OAuth 2.0-verificatieprotocol voor een geregistreerde Microsoft Entra-toepassing die de specifieke SIEM-oplossing of connector vertegenwoordigt die in uw omgeving is geïnstalleerd.
Zie voor meer informatie:
- Licentie en gebruiksvoorwaarden voor Microsoft Defender XDR-API's
- Toegang tot de Microsoft Defender XDR-API's
- Voorbeeld van Hallo wereld
- Toegang krijgen tot toepassingscontext
Er zijn twee primaire modellen om beveiligingsgegevens op te nemen:
Microsoft Defender XDR-incidenten en de bijbehorende waarschuwingen van een REST API in Azure opnemen.
Streaminggebeurtenisgegevens opnemen via Azure Event Hubs of Azure Storage-accounts.
Microsoft Defender XDR ondersteunt momenteel de volgende SIEM-oplossingsintegraties:
- Incidenten opnemen uit de REST API voor incidenten
- Streaminggebeurtenisgegevens opnemen via Event Hubs
Incidenten opnemen uit de REST API voor incidenten
Incidentschema
Zie Schematoewijzing voor meer informatie over de eigenschappen van Microsoft Defender XDR-incidenten, waaronder metagegevens van ingesloten waarschuwings- en bewijsentiteiten.
Splunk
De nieuwe, volledig ondersteunde Splunk-invoegtoepassing voor Microsoft Security gebruiken die ondersteuning biedt voor:
Het opnemen van incidenten die waarschuwingen van de volgende producten bevatten, die zijn toegewezen aan het Common Information Model (CIM) van Splunk:
- Microsoft Defender XDR
- Microsoft Defender voor Eindpunt
- Microsoft Defender for Identity en Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
Defender voor Eindpunt-waarschuwingen opnemen (van het Azure-eindpunt van Defender voor Eindpunt) en deze waarschuwingen bijwerken
Ondersteuning voor het bijwerken van Microsoft Defender XDR-incidenten en/of Microsoft Defender voor eindpuntwaarschuwingen en de respectieve dashboards is verplaatst naar de Microsoft 365-app voor Splunk.
Voor meer informatie over:
De Splunk-invoegtoepassing voor Microsoft Security, zie de Microsoft Security-invoegtoepassing op Splunkbase
De Microsoft 365-app voor Splunk, zie de Microsoft 365-app op Splunkbase
Micro Focus ArcSight
De nieuwe SmartConnector voor Microsoft Defender XDR neemt incidenten op in ArcSight en wijst deze toe aan het Common Event Framework (CEF).
Zie ArcSight-productdocumentatie voor meer informatie over de nieuwe ArcSight SmartConnector voor Microsoft Defender XDR.
De SmartConnector vervangt de vorige FlexConnector voor Microsoft Defender voor Eindpunt die nu buiten gebruik is gesteld.
Elastisch
Elastic Security combineert SIEM-functies voor bedreigingsdetectie met eindpuntpreventie en responsmogelijkheden in één oplossing. Met de elastische integratie voor Microsoft Defender XDR en Defender voor Eindpunt kunnen organisaties incidenten en waarschuwingen van Defender binnen Elastic Security gebruiken om onderzoeken en incidentrespons uit te voeren. Elastisch correleert deze gegevens met andere gegevensbronnen, waaronder cloud-, netwerk- en eindpuntbronnen met behulp van robuuste detectieregels om bedreigingen snel te vinden. Zie voor meer informatie over de elastische connector: Microsoft M365 Defender | Elastische documenten
Streaminggebeurtenisgegevens opnemen via Event Hubs
Eerst moet u gebeurtenissen streamen van uw Microsoft Entra-tenant naar uw Event Hubs- of Azure Storage-account. Zie Streaming-API voor meer informatie.
Zie Ondersteunde typen streaming-gebeurtenissen voor meer informatie over de gebeurtenistypen die worden ondersteund door de Streaming-API.
Splunk
Gebruik de Splunk-invoegtoepassing voor Microsoft Cloud Services om gebeurtenissen op te nemen uit Azure Event Hubs.
IBM QRadar
Gebruik de nieuwe IBM QRadar Microsoft Defender XDR Device Support Module (DSM) die de Microsoft Defender XDR Streaming-API aanroept waarmee streaminggebeurtenisgegevens van Microsoft Defender XDR-producten kunnen worden opgenomen via Event Hubs of Azure Storage-account. Zie Ondersteunde gebeurtenistypen voor meer informatie over ondersteunde gebeurtenistypen.
Elastisch
Zie Microsoft M365 Defender | Elastische documenten.
Verwante artikelen
De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.