SIEM araçlarınızı Microsoft Defender XDR ile tümleştirme
Şunlar için geçerlidir:
Güvenlik bilgileri ve olay yönetimi (SIEM) araçlarını kullanarak Microsoft Defender XDR olaylarını ve akış olay verilerini çekme
Not
- Microsoft Defender XDR Olayları , bağıntılı uyarı koleksiyonlarından ve bunların kanıtlarından oluşur.
- Microsoft Defender XDR Akış API'si , olay verilerini Microsoft Defender XDR'den olay hub'larına veya Azure depolama hesaplarına akışla bildirir.
Microsoft Defender XDR, ortamınızda yüklü olan belirli bir SIEM çözümünü veya bağlayıcısını temsil eden kayıtlı bir Microsoft Entra uygulaması için OAuth 2.0 kimlik doğrulama protokolunu kullanarak Microsoft Entra ID'deki kurumsal kiracınızdan bilgi alan güvenlik bilgilerini ve olay yönetimi (SIEM) araçlarını destekler.
Daha fazla bilgi için bkz.:
- Microsoft Defender XDR API'leri lisansı ve kullanım koşulları
- Microsoft Defender XDR API'lerine erişme
- Merhaba Dünya örneği
- Uygulama bağlamıyla erişim alın
Güvenlik bilgilerini almak için iki birincil model vardır:
Microsoft Defender XDR olaylarını ve bunların içerdiği uyarıları Azure'daki bir REST API'den alma.
Akış olayı verilerini Azure Event Hubs veya Azure Depolama Hesapları aracılığıyla alma.
Microsoft Defender XDR şu anda aşağıdaki SIEM çözümü tümleştirmelerini destekler:
Olaylar REST API'sinden olayları alma
Olay şeması
Kapsanan uyarı ve kanıt varlıkları meta verileri de dahil olmak üzere Microsoft Defender XDR olay özellikleri hakkında daha fazla bilgi için bkz. Şema eşleme.
Splunk
Microsoft Güvenliği için aşağıdakileri destekleyen yeni, tam olarak desteklenen Splunk Eklentisini kullanma:
Splunk'un Ortak Bilgi Modeli'ne (CIM) eşlenen aşağıdaki ürünlerden gelen uyarıları içeren olayları alma:
- Microsoft Defender XDR
- Uç Nokta için Microsoft Defender
- Kimlik için Microsoft Defender ve Microsoft Entra ID Koruması
- Bulut Uygulamaları için Microsoft Defender
Uç Nokta için Defender uyarılarını alma (Uç Nokta için Defender'ın Azure uç noktasından) ve bu uyarıları güncelleştirme
Microsoft Defender XDR Olaylarını ve/veya Uç Nokta için Microsoft Defender Uyarılarını ve ilgili panoları güncelleştirme desteği Splunk için Microsoft 365 Uygulaması'na taşındı.
Daha fazla bilgi için:
Microsoft Güvenliği için Splunk Eklentisi, bkz. Splunkbase'de Microsoft Güvenlik Eklentisi
Splunk için Microsoft 365 Uygulaması, bkz. Splunkbase üzerinde Microsoft 365 Uygulaması
Mikro Odak ArcSight
Microsoft Defender XDR için yeni SmartConnector olayları ArcSight'a alıyor ve bunları Ortak Olay Çerçevesi (CEF) ile eşler.
Microsoft Defender XDR için yeni ArcSight SmartConnector hakkında daha fazla bilgi için bkz. ArcSight Ürün Belgeleri.
SmartConnector, kullanımdan kaldırılacak olan Uç Nokta için Microsoft Defender için önceki FlexConnector'ın yerini alır.
Elastik
Elastik Güvenlik, SIEM tehdit algılama özelliklerini uç nokta önleme ve yanıt özellikleriyle tek bir çözümde birleştirir. Microsoft Defender XDR ve Uç Nokta için Defender için Esnek tümleştirme, kuruluşların araştırma ve olay yanıtı gerçekleştirmek için Elastik Güvenlik içindeki Defender'dan gelen olay ve uyarılardan yararlanmasına olanak tanır. Elastik, tehditleri hızla bulmak için güçlü algılama kuralları kullanarak bu verileri bulut, ağ ve uç nokta kaynakları gibi diğer veri kaynaklarıyla ilişkilendirmektedir. Elastik bağlayıcı hakkında daha fazla bilgi için bkz. Microsoft M365 Defender | Elastik belgeler
Event Hubs aracılığıyla akış olayı verilerini alma
öncelikle Microsoft Entra kiracınızdan Event Hubs veya Azure Depolama Hesabınıza olayları akışla aktarmanız gerekir. Daha fazla bilgi için bkz . Akış API'si.
Akış API'sinin desteklediği olay türleri hakkında daha fazla bilgi için bkz. Desteklenen akış olay türleri.
Splunk
Azure Event Hubs'tan olayları almak için Microsoft Cloud Services için Splunk Eklentisini kullanın.
Microsoft Cloud Services için Splunk Eklentisi hakkında daha fazla bilgi için bkz. Splunkbase'de Microsoft Cloud Services Eklentisi.
IBM QRadar
Event Hubs veya Azure Depolama Hesabı aracılığıyla Microsoft Defender XDR ürünlerinden akış olay verilerinin alımına olanak tanıyan Microsoft Defender XDR Akış API'sini çağıran yeni IBM QRadar Microsoft Defender XDR Cihaz Destek Modülünü (DSM) kullanın. Desteklenen olay türleri hakkında daha fazla bilgi için bkz . Desteklenen olay türleri.
Elastik
Elastik akış API'si tümleştirmesi hakkında daha fazla bilgi için bkz. Microsoft M365 Defender | Elastik belgeler.
İlgili makaleler
Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.