Integrera dina SIEM-verktyg med Microsoft Defender XDR
Gäller för:
Hämta Microsoft Defender XDR-incidenter och strömma händelsedata med hjälp av SIEM-verktyg (security information and events management)
Obs!
- Microsoft Defender XDR-incidenter består av samlingar av korrelerade aviseringar och deras bevis.
- Strömnings-API:et för Microsoft Defender XDR strömmar händelsedata från Microsoft Defender XDR till händelsehubbar eller Azure Storage-konton.
Microsoft Defender XDR stöder SIEM-verktyg (säkerhetsinformation och händelsehantering) som matar in information från din företagsklientorganisation i Microsoft Entra-ID med hjälp av OAuth 2.0-autentiseringsprotokollet för ett registrerat Microsoft Entra-program som representerar den specifika SIEM-lösningen eller anslutningsappen som är installerad i din miljö.
Mer information finns i:
- Licens och användningsvillkor för Microsoft Defender XDR-API:er
- Få åtkomst till Microsoft Defender XDR-API:er
- Hello World exempel
- Få åtkomst med programsammanhang
Det finns två primära modeller för att mata in säkerhetsinformation:
Mata in Microsoft Defender XDR-incidenter och deras inneslutna aviseringar från ett REST API i Azure.
Mata in strömmande händelsedata antingen via Azure Event Hubs eller Azure Storage-konton.
Microsoft Defender XDR stöder för närvarande följande SIEM-lösningsintegreringar:
Mata in incidenter från INCIDENTER REST API
Incidentschema
Mer information om Microsoft Defender XDR-incidentegenskaper som innehåller metadata för aviserings- och bevisentiteter finns i Schemamappning.
Splunk
Med det nya, fullständigt stödda Splunk-tillägget för Microsoft Security som stöder:
Mata in incidenter som innehåller aviseringar från följande produkter, som mappas till Splunks Common Information Model (CIM):
- Microsoft Defender XDR
- Microsoft Defender för Endpoint
- Microsoft Defender for Identity och Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
Mata in Defender för Endpoint-aviseringar (från Azure-slutpunkten för Defender för Endpoint) och uppdatera dessa aviseringar
Stöd för uppdatering av Microsoft Defender XDR-incidenter och/eller Microsoft Defender för Endpoint-aviseringar och respektive instrumentpaneler har flyttats till Microsoft 365-appen för Splunk.
Mer information om:
Splunk-tillägget för Microsoft Security finns i Microsoft Security-tillägget på Splunkbase
Microsoft 365-appen för Splunk finns i Microsoft 365-appen på Splunkbase
Mikrofokus ArcSight
Den nya SmartConnector för Microsoft Defender XDR matar in incidenter i ArcSight och mappar dem till common event framework (CEF).
Mer information om den nya ArcSight SmartConnector för Microsoft Defender XDR finns i Produktdokumentation för ArcSight.
SmartConnector ersätter den tidigare FlexConnector för Microsoft Defender för Endpoint som nu har dragits tillbaka.
Elastisk
Elastic Security kombinerar SIEM-hotidentifieringsfunktioner med funktioner för slutpunktsskydd och svar i en lösning. Den elastiska integreringen för Microsoft Defender XDR och Defender för Endpoint gör det möjligt för organisationer att utnyttja incidenter och aviseringar från Defender i Elastic Security för att utföra undersökningar och incidenthantering. Elastic korrelerar dessa data med andra datakällor, inklusive moln-, nätverks- och slutpunktskällor som använder robusta identifieringsregler för att snabbt hitta hot. Mer information om den elastiska anslutningsappen finns i: Microsoft M365 Defender | Elastiska dokument
Mata in strömmande händelsedata via Event Hubs
Först måste du strömma händelser från din Microsoft Entra-klientorganisation till eventhubbar eller Azure Storage-konto. Mer information finns i API för direktuppspelning.
Mer information om de händelsetyper som stöds av API:et för direktuppspelning finns i Typer av direktuppspelningshändelser som stöds.
Splunk
Använd Splunk-tillägget för Microsoft Cloud Services för att mata in händelser från Azure Event Hubs.
Mer information om Splunk-tillägget för Microsoft Cloud Services finns i Microsoft Cloud Services-tillägget på Splunkbase.
IBM QRadar
Använd den nya IBM QRadar Microsoft Defender XDR Device Support Module (DSM) som anropar Microsoft Defender XDR Streaming API som tillåter inmatning av strömmande händelsedata från Microsoft Defender XDR-produkter via Event Hubs eller Azure Storage-konto. Mer information om händelsetyper som stöds finns i Händelsetyper som stöds.
Elastisk
Mer information om elastic streaming API-integrering finns i Microsoft M365 Defender | Elastiska dokument.
Relaterade artiklar
Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.