Udostępnij za pośrednictwem


Integrowanie narzędzi SIEM z usługą Microsoft Defender XDR

Dotyczy:

Ściąganie zdarzeń XDR usługi Microsoft Defender i przesyłania strumieniowego danych zdarzeń przy użyciu narzędzi do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM)

Uwaga

Usługa Microsoft Defender XDR obsługuje narzędzia do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) pozyskujące informacje z dzierżawy przedsiębiorstwa w identyfikatorze Microsoft Entra przy użyciu protokołu uwierzytelniania OAuth 2.0 dla zarejestrowanej aplikacji Microsoft Entra reprezentującej określone rozwiązanie SIEM lub łącznik zainstalowany w środowisku.

Więcej informacji można znaleźć w następujących artykułach:

Istnieją dwa podstawowe modele do pozyskiwania informacji o zabezpieczeniach:

  1. Pozyskiwanie zdarzeń XDR usługi Microsoft Defender i zawartych w nich alertów z interfejsu API REST na platformie Azure.

  2. Pozyskiwanie danych zdarzeń przesyłania strumieniowego za pośrednictwem usługi Azure Event Hubs lub kont usługi Azure Storage.

Usługa Microsoft Defender XDR obecnie obsługuje następujące integracje rozwiązań SIEM:

Pozyskiwanie zdarzeń z interfejsu API REST zdarzeń

Schemat zdarzeń

Aby uzyskać więcej informacji na temat właściwości zdarzenia XDR usługi Microsoft Defender, w tym zawartych metadanych jednostek alertów i dowodów, zobacz Mapowanie schematu.

Splunk

Korzystanie z nowego, w pełni obsługiwanego dodatku Splunk dla usługi Microsoft Security, który obsługuje:

  • Pozyskiwanie zdarzeń zawierających alerty z następujących produktów, które są mapowane na model Common Information Model (CIM) firmy Splunk:

    • Microsoft Defender XDR
    • Ochrona punktu końcowego w usłudze Microsoft Defender
    • Microsoft Defender for Identity i Microsoft Entra ID Protection
    • Microsoft Defender for Cloud Apps
  • Pozyskiwanie alertów usługi Defender for Endpoint (z punktu końcowego platformy Azure w usłudze Defender for Endpoint) i aktualizowanie tych alertów

  • Obsługa aktualizowania zdarzeń XDR usługi Microsoft Defender i/lub alertów punktu końcowego w usłudze Microsoft Defender oraz odpowiednich pulpitów nawigacyjnych została przeniesiona do aplikacji Microsoft 365 for Splunk.

Aby uzyskać więcej informacji na temat:

Micro Focus ArcSight

Nowy program SmartConnector dla usługi Microsoft Defender XDR pozyskuje zdarzenia do usługi ArcSight i mapuje je na platformę Common Event Framework (CEF).

Aby uzyskać więcej informacji na temat nowego programu ArcSight SmartConnector dla usługi Microsoft Defender XDR, zobacz Dokumentacja produktu ArcSight.

Funkcja SmartConnector zastępuje poprzednią funkcję FlexConnector dla usługi Microsoft Defender dla punktu końcowego, która została wycofana.

Elastyczny

Usługa Elastic Security łączy funkcje wykrywania zagrożeń SIEM z funkcjami zapobiegania punktom końcowym i reagowania w jednym rozwiązaniu. Integracja elastyczna dla usług Microsoft Defender XDR i Defender for Endpoint umożliwia organizacjom korzystanie z zdarzeń i alertów z usługi Defender w ramach usługi Elastic Security w celu przeprowadzania badań i reagowania na zdarzenia. Elastyczność koreluje te dane z innymi źródłami danych, w tym źródłami chmury, sieci i punktów końcowych przy użyciu niezawodnych reguł wykrywania, aby szybko znaleźć zagrożenia. Aby uzyskać więcej informacji na temat łącznika elastycznego, zobacz: Microsoft M365 Defender | Dokumentacja elastyczna

Pozyskiwanie danych zdarzeń przesyłania strumieniowego za pośrednictwem usługi Event Hubs

Najpierw musisz przesyłać strumieniowo zdarzenia z dzierżawy usługi Microsoft Entra do usługi Event Hubs lub konta usługi Azure Storage. Aby uzyskać więcej informacji, zobacz Interfejs API przesyłania strumieniowego.

Aby uzyskać więcej informacji na temat typów zdarzeń obsługiwanych przez interfejs API przesyłania strumieniowego, zobacz Obsługiwane typy zdarzeń przesyłania strumieniowego.

Splunk

Użyj dodatku Splunk dla usług Microsoft Cloud Services, aby pozyskiwać zdarzenia z usługi Azure Event Hubs.

Aby uzyskać więcej informacji na temat dodatku Splunk dla usług Microsoft Cloud Services, zobacz dodatek Microsoft Cloud Services w aplikacji Splunkbase.

IBM QRadar

Użyj nowego modułu pomocy technicznej urządzenia XDR (DSM) IBM QRadar Microsoft Defender, który wywołuje interfejs API przesyłania strumieniowego XDR usługi Microsoft Defender , który umożliwia pozyskiwanie danych zdarzeń przesyłania strumieniowego z produktów Microsoft Defender XDR za pośrednictwem usługi Event Hubs lub konta usługi Azure Storage. Aby uzyskać więcej informacji na temat obsługiwanych typów zdarzeń, zobacz Obsługiwane typy zdarzeń.

Elastyczny

Aby uzyskać więcej informacji na temat integracji interfejsu API przesyłania strumieniowego elastycznego, zobacz Microsoft M365 Defender | Elastyczne dokumenty.

Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.