Integrar as suas ferramentas SIEM com o Microsoft Defender XDR
Aplica-se a:
Solicitar incidentes XDR do Microsoft Defender e transmitir dados de eventos através de ferramentas de gestão de informações e eventos de segurança (SIEM)
Nota
- Os Incidentes XDR do Microsoft Defender consistem em coleções de alertas correlacionados e respetivas provas.
- A API de Transmissão em Fluxo do Microsoft Defender XDR transmite dados de eventos do Microsoft Defender XDR para hubs de eventos ou contas de armazenamento do Azure.
O Microsoft Defender XDR suporta ferramentas de gestão de informações e eventos de segurança (SIEM) que ingerem informações do seu inquilino empresarial no Microsoft Entra ID através do protocolo de autenticação OAuth 2.0 para uma aplicação Microsoft Entra registada que representa a solução ou conector SIEM específico instalado no seu ambiente.
Para mais informações, consulte:
- Licença e termos de utilização das APIs XDR do Microsoft Defender
- Aceder às APIs XDR do Microsoft Defender
- Exemplo Olá, Mundo
- Obter acesso com o contexto da aplicação
Existem dois modelos principais para ingerir informações de segurança:
Ingerir incidentes XDR do Microsoft Defender e os respetivos alertas contidos a partir de uma API REST no Azure.
Ingerir dados de eventos de transmissão em fluxo através dos Hubs de Eventos do Azure ou das Contas de Armazenamento do Azure.
Atualmente, o Microsoft Defender XDR suporta as seguintes integrações de soluções SIEM:
- Ingerir incidentes da API REST de incidentes
- Ingerir dados de eventos de transmissão em fluxo através dos Hubs de Eventos
Ingerir incidentes da API REST de incidentes
Esquema de incidente
Para obter mais informações sobre as propriedades do incidente XDR do Microsoft Defender, incluindo metadados de entidades de alertas e provas contidos, veja Mapeamento de esquemas.
Splunk
Utilizar o novo Suplemento Splunk totalmente suportado para o Microsoft Security que suporta:
Ingestão de incidentes que contêm alertas dos seguintes produtos, mapeados para o Modelo de Informações Comuns (CIM) do Splunk:
- Microsoft Defender XDR
- Microsoft Defender para Endpoint
- Proteção do Microsoft Defender para Identidade e Microsoft Entra ID
- Microsoft Defender for Cloud Apps
Ingerir alertas do Defender para Endpoint (a partir do ponto final do Azure do Defender para Endpoint) e atualizar estes alertas
Suporte para atualizar Incidentes XDR do Microsoft Defender e/ou Alertas do Microsoft Defender para Ponto Final e os respetivos dashboards foram movidos para a Aplicação Microsoft 365 para Splunk.
Para obter mais informações sobre:
O Suplemento Splunk para o Microsoft Security, consulte o Suplemento de Segurança da Microsoft no Splunkbase
A Aplicação Microsoft 365 para Splunk, consulte a Aplicação Microsoft 365 no Splunkbase
Micro Focus ArcSight
O novo SmartConnector para Microsoft Defender XDR ingere incidentes no ArcSight e mapeia-os para o Common Event Framework (CEF).
Para obter mais informações sobre o novo ArcSight SmartConnector para Microsoft Defender XDR, consulte a Documentação do Produto ArcSight.
O SmartConnector substitui o FlexConnector anterior do Microsoft Defender para Endpoint que foi descontinuado.
Elástico
A Segurança Elástica combina funcionalidades de deteção de ameaças SIEM com capacidades de prevenção e resposta de pontos finais numa solução. A integração elástica do Microsoft Defender XDR e do Defender para Endpoint permite que as organizações tirem partido de incidentes e alertas do Defender na Segurança Elástica para realizar investigações e resposta a incidentes. O elástico correlaciona estes dados com outras origens de dados, incluindo origens de cloud, rede e pontos finais, através de regras de deteção robustas para encontrar ameaças rapidamente. Para obter mais informações sobre o Conector elástico, consulte: Microsoft M365 Defender | Documentos elásticos
Ingerir dados de eventos de transmissão em fluxo através dos Hubs de Eventos
Primeiro, tem de transmitir em fluxo eventos do seu inquilino do Microsoft Entra para os Hubs de Eventos ou Conta de Armazenamento do Azure. Para obter mais informações, veja API de Transmissão em Fluxo.
Para obter mais informações sobre os tipos de evento suportados pela API de Transmissão em Fluxo, veja Tipos de eventos de transmissão em fluxo suportados.
Splunk
Utilize o Suplemento Splunk para os Serviços Cloud da Microsoft para ingerir eventos dos Hubs de Eventos do Azure.
Para obter mais informações sobre o Suplemento Splunk para Serviços Cloud da Microsoft, consulte o Suplemento Serviços Cloud da Microsoft no Splunkbase.
IBM QRadar
Utilize o novo Módulo de Suporte de Dispositivos XDR (DSM) do Microsoft Defender XDR da IBM que chama a API de Transmissão em Fluxo XDR do Microsoft Defender que permite ingerir dados de eventos de transmissão em fluxo de produtos XDR do Microsoft Defender através de Hubs de Eventos ou conta de Armazenamento do Azure. Para obter mais informações sobre os tipos de evento suportados, veja Tipos de eventos suportados.
Elástico
Para obter mais informações sobre a integração da API de transmissão em fluxo elástica, consulte Microsoft M365 Defender | Documentos elásticos.
Artigos relacionados
Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.