Integrar as suas ferramentas SIEM com o Microsoft Defender XDR
Aplica-se a:
Nota
Experimente as nossas novas APIs com a API de segurança do MS Graph. Saiba mais em: Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn.
Solicitar Microsoft Defender XDR incidentes e transmitir dados de eventos com ferramentas de gestão de informações e eventos de segurança (SIEM)
Nota
- Microsoft Defender XDR Incidentes consiste em coleções de alertas correlacionados e respetivas provas.
- Microsoft Defender XDR API de Transmissão em Fluxo transmite dados de eventos de Microsoft Defender XDR para hubs de eventos ou contas de armazenamento do Azure.
Microsoft Defender XDR suporta ferramentas de gestão de informações e eventos de segurança (SIEM) que ingerem informações do seu inquilino empresarial no Microsoft Entra ID através do protocolo de autenticação OAuth 2.0 para uma aplicação Microsoft Entra registada que representa a solução ou conector SIEM específico instalado no seu ambiente.
Para mais informações, consulte:
- Microsoft Defender XDR licença de APIs e termos de utilização
- Aceder às APIs Microsoft Defender XDR
- Exemplo Olá, Mundo
- Obter acesso com o contexto da aplicação
Existem dois modelos principais para ingerir informações de segurança:
Ingerir Microsoft Defender XDR incidentes e os respetivos alertas contidos a partir de uma API REST no Azure.
Ingerir dados de eventos de transmissão em fluxo através do Hubs de Eventos do Azure ou das Contas de Armazenamento do Azure.
Microsoft Defender XDR suporta atualmente as seguintes integrações de soluções SIEM:
- Ingerir incidentes da API REST de incidentes
- Ingerir dados de eventos de transmissão em fluxo através do Hub de Eventos
Ingerir incidentes da API REST de incidentes
Esquema de incidente
Para obter mais informações sobre Microsoft Defender XDR propriedades de incidentes, incluindo metadados de entidades de alertas e provas contidos, veja Mapeamento de esquemas.
Splunk
Utilizar o novo Suplemento Splunk totalmente suportado para o Microsoft Security que suporta:
Ingestão de incidentes que contêm alertas dos seguintes produtos, mapeados para o Modelo de Informações Comuns (CIM) do Splunk:
- Microsoft Defender XDR
- Microsoft Defender para Endpoint
- Microsoft Defender para Identidade e Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
Ingerir alertas do Defender para Endpoint (a partir do ponto final do Azure do Defender para Endpoint) e atualizar estes alertas
O suporte para a atualização Microsoft Defender XDR Incidentes e/ou Alertas de Microsoft Defender para Endpoint e os respetivos dashboards foram movidos para a Aplicação Microsoft 365 para Splunk.
Para obter mais informações sobre:
O Suplemento Splunk para o Microsoft Security, consulte o Suplemento de Segurança da Microsoft no Splunkbase
A Aplicação Microsoft 365 para Splunk, consulte a Aplicação Microsoft 365 no Splunkbase
Micro Focus ArcSight
O novo SmartConnector para Microsoft Defender XDR ingere incidentes no ArcSight e mapeia-os para o common event framework (CEF).
Para obter mais informações sobre o novo ArcSight SmartConnector para Microsoft Defender XDR, veja a Documentação do Produto ArcSight.
O SmartConnector substitui o FlexConnector anterior para Microsoft Defender para Endpoint que foi preterido.
Elástico
A Segurança Elástica combina funcionalidades de deteção de ameaças SIEM com capacidades de prevenção e resposta de pontos finais numa solução. A integração elástica do Microsoft Defender XDR e do Defender para Endpoint permite que as organizações tirem partido de incidentes e alertas do Defender na Segurança Elástica para realizar investigações e resposta a incidentes. O elástico correlaciona estes dados com outras origens de dados, incluindo origens de cloud, rede e pontos finais, através de regras de deteção robustas para encontrar ameaças rapidamente. Para obter mais informações sobre o Conector elástico, consulte: Microsoft M365 Defender | Documentos elásticos
Ingerir dados de eventos de transmissão em fluxo através dos Hubs de Eventos
Primeiro, tem de transmitir em fluxo eventos do seu inquilino Microsoft Entra para os Hubs de Eventos ou Conta de Armazenamento do Azure. Para obter mais informações, veja API de Transmissão em Fluxo.
Para obter mais informações sobre os tipos de evento suportados pela API de Transmissão em Fluxo, veja Tipos de eventos de transmissão em fluxo suportados.
Splunk
Utilize o Suplemento Splunk para o Microsoft Serviços Cloud para ingerir eventos de Hubs de Eventos do Azure.
Para obter mais informações sobre o Suplemento Splunk para Microsoft Serviços Cloud, consulte o Suplemento microsoft Serviços Cloud no Splunkbase.
IBM QRadar
Utilize o novo IBM QRadar Microsoft Defender XDR Device Support Module (DSM) que chama a API de Transmissão em Fluxo de Microsoft Defender XDR que permite ingerir dados de eventos de transmissão em fluxo de produtos Microsoft Defender XDR através dos Hubs de Eventos ou da Conta de Armazenamento do Azure. Para obter mais informações sobre os tipos de evento suportados, veja Tipos de eventos suportados.
Elástico
Para obter mais informações sobre a integração da API de transmissão em fluxo elástica, consulte Microsoft M365 Defender | Documentos elásticos.
Artigos relacionados
Utilizar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários