Интеграция инструментов SIEM с Microsoft Defender XDR
Область применения:
Извлечение инцидентов XDR в Microsoft Defender и потоковая передача данных о событиях с помощью средств управления информационной безопасностью и событиями (SIEM)
Примечание.
- Инциденты XDR в Microsoft Defender состоят из коллекций коррелированных оповещений и их доказательств.
- API потоковой передачи XDR в Microsoft Defender передает данные о событиях из XDR Microsoft Defender в центры событий или учетные записи хранения Azure.
Microsoft Defender XDR поддерживает средства управления информационной безопасностью и событиями безопасности (SIEM), которые прием информации из корпоративного клиента в идентификаторе Microsoft Entra с помощью протокола проверки подлинности OAuth 2.0 для зарегистрированного приложения Microsoft Entra, представляющего конкретное решение SIEM или соединитель, установленный в вашей среде.
Дополнительные сведения см. в разделе:
- Лицензия и условия использования API XDR в Microsoft Defender
- Доступ к API XDR в Microsoft Defender
- Пример Hello World
- Получение доступа с помощью контекста приложения
Существует две основные модели приема сведений о безопасности:
Прием инцидентов XDR в Microsoft Defender и содержащихся в ней оповещений из REST API в Azure.
Прием данных о событиях потоковой передачи через Центры событий Azure или учетные записи хранения Azure.
Microsoft Defender XDR в настоящее время поддерживает следующие интеграции решений SIEM:
- Прием инцидентов из REST API инцидентов
- Прием данных о событиях потоковой передачи через Центры событий
Прием инцидентов из REST API инцидентов
Схема инцидента
Дополнительные сведения о свойствах инцидентов XDR в Microsoft Defender, включая метаданные сущностей оповещений и доказательств, см. в разделе Сопоставление схем.
Splunk
Использование новой, полностью поддерживаемой надстройки Splunk для Microsoft Security, которая поддерживает:
Прием инцидентов, содержащих оповещения от следующих продуктов, сопоставленных с общей информационной моделью (CIM) Splunk:
- Microsoft Defender XDR
- Microsoft Defender для конечной точки
- Microsoft Defender для удостоверений и Защита идентификаторов Microsoft Entra
- Microsoft Defender for Cloud Apps
Прием оповещений Defender для конечной точки (из конечной точки Azure Defender для конечной точки) и обновление этих оповещений
Поддержка обновления инцидентов XDR в Microsoft Defender и (или) оповещений Microsoft Defender для конечной точки и соответствующих панелей мониторинга перенесена в приложение Microsoft 365 для Splunk.
Дополнительные сведения приведены ниже.
Надстройка Splunk для Microsoft Security см. в статье Надстройка безопасности Майкрософт в Splunkbase
Приложение Microsoft 365 для Splunk см. в статье Приложение Microsoft 365 в Splunkbase
Micro Focus ArcSight
Новый SmartConnector для Microsoft Defender XDR прием инцидентов в ArcSight и сопоставляет их с общей платформой событий (CEF).
Дополнительные сведения о новом arcSight SmartConnector для XDR в Microsoft Defender см. в документации по продукту ArcSight.
SmartConnector заменяет предыдущий FlexConnector для Microsoft Defender для конечной точки, который теперь устарел.
Эластичный
Elastic Security объединяет функции обнаружения угроз SIEM с возможностями защиты конечных точек и реагирования в одном решении. Интеграция Elastic для Microsoft Defender XDR и Defender для конечной точки позволяет организациям использовать инциденты и оповещения от Defender в Elastic Security для проведения расследований и реагирования на инциденты. Elastic сопоставляет эти данные с другими источниками данных, включая облачные, сетевые и конечные точки, используя надежные правила обнаружения для быстрого поиска угроз. Дополнительные сведения о соединителе Elastic см. в статье Microsoft M365 Defender | Документация по эластичным базам данных
Прием данных о событиях потоковой передачи через Центры событий
Сначала необходимо выполнить потоковую передачу событий из клиента Microsoft Entra в Центры событий или учетную запись хранения Azure. Дополнительные сведения см. в разделе API потоковой передачи.
Дополнительные сведения о типах событий, поддерживаемых API потоковой передачи, см. в разделе Поддерживаемые типы событий потоковой передачи.
Splunk
Используйте надстройку Splunk для облачных служб Майкрософт для приема событий из Центров событий Azure.
Дополнительные сведения о надстройке Splunk для облачных служб Майкрософт см. в статье Надстройка Microsoft Cloud Services в Splunkbase.
IBM QRadar
Используйте новый модуль поддержки устройств (DSM) IBM QRadar Microsoft Defender XDR, который вызывает API потоковой передачи XDR в Microsoft Defender , который позволяет принимать данные о событиях потоковой передачи из продуктов XDR в Microsoft Defender через Центры событий или учетную запись хранения Azure. Дополнительные сведения о поддерживаемых типах событий см. в разделе Поддерживаемые типы событий.
Эластичный
Дополнительные сведения об интеграции API эластичной потоковой передачи см. в статье Microsoft M365 Defender | Документация по эластичным эластикам.
Связанные статьи
Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender XDR Tech Community.