Integrowanie narzędzi SIEM z usługą Microsoft Defender XDR
Dotyczy:
Ściąganie zdarzeń XDR usługi Microsoft Defender i przesyłania strumieniowego danych zdarzeń przy użyciu narzędzi do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM)
Uwaga
- Zdarzenia XDR usługi Microsoft Defender składają się z kolekcji skorelowanych alertów i ich dowodów.
- Interfejs API przesyłania strumieniowego XDR usługi Microsoft Defender przesyła strumieniowo dane zdarzeń z usługi Microsoft Defender XDR do centrów zdarzeń lub kont usługi Azure Storage.
Usługa Microsoft Defender XDR obsługuje narzędzia do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) pozyskujące informacje z dzierżawy przedsiębiorstwa w identyfikatorze Microsoft Entra przy użyciu protokołu uwierzytelniania OAuth 2.0 dla zarejestrowanej aplikacji Microsoft Entra reprezentującej określone rozwiązanie SIEM lub łącznik zainstalowany w środowisku.
Więcej informacji można znaleźć w następujących artykułach:
- Licencja i warunki użytkowania interfejsów API XDR usługi Microsoft Defender
- Uzyskiwanie dostępu do interfejsów API XDR usługi Microsoft Defender
- Hello World — przykład
- Uzyskiwanie dostępu za pomocą kontekstu aplikacji
Istnieją dwa podstawowe modele do pozyskiwania informacji o zabezpieczeniach:
Pozyskiwanie zdarzeń XDR usługi Microsoft Defender i zawartych w nich alertów z interfejsu API REST na platformie Azure.
Pozyskiwanie danych zdarzeń przesyłania strumieniowego za pośrednictwem usługi Azure Event Hubs lub kont usługi Azure Storage.
Usługa Microsoft Defender XDR obecnie obsługuje następujące integracje rozwiązań SIEM:
- Pozyskiwanie zdarzeń z interfejsu API REST zdarzeń
- Pozyskiwanie danych zdarzeń przesyłania strumieniowego za pośrednictwem usługi Event Hubs
Pozyskiwanie zdarzeń z interfejsu API REST zdarzeń
Schemat zdarzeń
Aby uzyskać więcej informacji na temat właściwości zdarzenia XDR usługi Microsoft Defender, w tym zawartych metadanych jednostek alertów i dowodów, zobacz Mapowanie schematu.
Splunk
Korzystanie z nowego, w pełni obsługiwanego dodatku Splunk dla usługi Microsoft Security, który obsługuje:
Pozyskiwanie zdarzeń zawierających alerty z następujących produktów, które są mapowane na model Common Information Model (CIM) firmy Splunk:
- Microsoft Defender XDR
- Ochrona punktu końcowego w usłudze Microsoft Defender
- Microsoft Defender for Identity i Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
Pozyskiwanie alertów usługi Defender for Endpoint (z punktu końcowego platformy Azure w usłudze Defender for Endpoint) i aktualizowanie tych alertów
Obsługa aktualizowania zdarzeń XDR usługi Microsoft Defender i/lub alertów punktu końcowego w usłudze Microsoft Defender oraz odpowiednich pulpitów nawigacyjnych została przeniesiona do aplikacji Microsoft 365 for Splunk.
Aby uzyskać więcej informacji na temat:
Dodatek Splunk dla usługi Microsoft Security można znaleźć w dodatku Microsoft Security Na platformie Splunkbase
Aplikacja Platformy Microsoft 365 dla rozwiązania Splunk— zobacz Aplikację platformy Microsoft 365 na platformie Splunkbase
Micro Focus ArcSight
Nowy program SmartConnector dla usługi Microsoft Defender XDR pozyskuje zdarzenia do usługi ArcSight i mapuje je na platformę Common Event Framework (CEF).
Aby uzyskać więcej informacji na temat nowego programu ArcSight SmartConnector dla usługi Microsoft Defender XDR, zobacz Dokumentacja produktu ArcSight.
Funkcja SmartConnector zastępuje poprzednią funkcję FlexConnector dla usługi Microsoft Defender dla punktu końcowego, która została wycofana.
Elastyczny
Usługa Elastic Security łączy funkcje wykrywania zagrożeń SIEM z funkcjami zapobiegania punktom końcowym i reagowania w jednym rozwiązaniu. Integracja elastyczna dla usług Microsoft Defender XDR i Defender for Endpoint umożliwia organizacjom korzystanie z zdarzeń i alertów z usługi Defender w ramach usługi Elastic Security w celu przeprowadzania badań i reagowania na zdarzenia. Elastyczność koreluje te dane z innymi źródłami danych, w tym źródłami chmury, sieci i punktów końcowych przy użyciu niezawodnych reguł wykrywania, aby szybko znaleźć zagrożenia. Aby uzyskać więcej informacji na temat łącznika elastycznego, zobacz: Microsoft M365 Defender | Dokumentacja elastyczna
Pozyskiwanie danych zdarzeń przesyłania strumieniowego za pośrednictwem usługi Event Hubs
Najpierw musisz przesyłać strumieniowo zdarzenia z dzierżawy usługi Microsoft Entra do usługi Event Hubs lub konta usługi Azure Storage. Aby uzyskać więcej informacji, zobacz Interfejs API przesyłania strumieniowego.
Aby uzyskać więcej informacji na temat typów zdarzeń obsługiwanych przez interfejs API przesyłania strumieniowego, zobacz Obsługiwane typy zdarzeń przesyłania strumieniowego.
Splunk
Użyj dodatku Splunk dla usług Microsoft Cloud Services, aby pozyskiwać zdarzenia z usługi Azure Event Hubs.
Aby uzyskać więcej informacji na temat dodatku Splunk dla usług Microsoft Cloud Services, zobacz dodatek Microsoft Cloud Services w aplikacji Splunkbase.
IBM QRadar
Użyj nowego modułu pomocy technicznej urządzenia XDR (DSM) IBM QRadar Microsoft Defender, który wywołuje interfejs API przesyłania strumieniowego XDR usługi Microsoft Defender , który umożliwia pozyskiwanie danych zdarzeń przesyłania strumieniowego z produktów Microsoft Defender XDR za pośrednictwem usługi Event Hubs lub konta usługi Azure Storage. Aby uzyskać więcej informacji na temat obsługiwanych typów zdarzeń, zobacz Obsługiwane typy zdarzeń.
Elastyczny
Aby uzyskać więcej informacji na temat integracji interfejsu API przesyłania strumieniowego elastycznego, zobacz Microsoft M365 Defender | Elastyczne dokumenty.
Artykuły pokrewne
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.