SIEM araçlarınızı Microsoft Defender XDR ile tümleştirme
Şunlar için geçerlidir:
Not
MS Graph güvenlik API'lerini kullanarak yeni API'lerimizi deneyin. Daha fazla bilgi için bkz. Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn.
Güvenlik bilgileri ve olay yönetimi (SIEM) araçlarını kullanarak olayları ve akış olay verilerini Microsoft Defender XDR çekme
Not
- Microsoft Defender XDR Olaylar, bağıntılı uyarı koleksiyonlarından ve bunların kanıtlarından oluşur.
- Microsoft Defender XDR Akış API'si, olay verilerini Microsoft Defender XDR'den olay hub'larına veya Azure depolama hesaplarına akışla bildirir.
Microsoft Defender XDR, belirli bir SIEM çözümünü veya bağlayıcınızda yüklü olan belirli bir SIEM çözümünü veya bağlayıcısını temsil eden kayıtlı bir Microsoft Entra uygulaması için OAuth 2.0 kimlik doğrulama protokollerini kullanarak Microsoft Entra ID'da kurumsal kiracınızdan bilgi alan güvenlik bilgileri ve olay yönetimi (SIEM) araçlarını destekler Ortam.
Daha fazla bilgi için bkz.:
- Microsoft Defender XDR API'ler lisansı ve kullanım koşulları
- Microsoft Defender XDR API'lerine erişme
- Merhaba Dünya örneği
- Uygulama bağlamıyla erişim alın
Güvenlik bilgilerini almak için iki birincil model vardır:
Azure'daki bir REST API'den Microsoft Defender XDR olayları ve bunların içerdiği uyarıları alma.
Akış olayı verilerini Azure Event Hubs veya Azure Depolama Hesapları aracılığıyla alma.
Microsoft Defender XDR şu anda aşağıdaki SIEM çözüm tümleştirmelerini destekler:
Olaylar REST API'sinden olayları alma
Olay şeması
İçerilen uyarı ve kanıt varlıkları meta verileri de dahil olmak üzere Microsoft Defender XDR olay özellikleri hakkında daha fazla bilgi için bkz. Şema eşleme.
Splunk
Microsoft Güvenliği için aşağıdakileri destekleyen yeni, tam olarak desteklenen Splunk Eklentisini kullanma:
Splunk'un Ortak Bilgi Modeli'ne (CIM) eşlenen aşağıdaki ürünlerden gelen uyarıları içeren olayları alma:
- Microsoft Defender XDR
- Uç Nokta için Microsoft Defender
- Kimlik için Microsoft Defender ve Microsoft Entra ID Koruması
- Bulut Uygulamaları için Microsoft Defender
Uç Nokta için Defender uyarılarını alma (Uç Nokta için Defender'ın Azure uç noktasından) ve bu uyarıları güncelleştirme
Microsoft Defender XDR Olayları ve/veya Uç Nokta için Microsoft Defender Uyarılarını güncelleştirme desteği ve ilgili panolar Splunk için Microsoft 365 Uygulaması'na taşındı.
Daha fazla bilgi için:
Microsoft Güvenliği için Splunk Eklentisi, bkz. Splunkbase'de Microsoft Güvenlik Eklentisi
Splunk için Microsoft 365 Uygulaması, bkz. Splunkbase üzerinde Microsoft 365 Uygulaması
Mikro Odak ArcSight
Microsoft Defender XDR için yeni SmartConnector olayları ArcSight'a alıyor ve bunları Common Event Framework (CEF) ile eşler.
Microsoft Defender XDR için yeni ArcSight SmartConnector hakkında daha fazla bilgi için bkz. ArcSight Ürün Belgeleri.
SmartConnector, kullanım dışı bırakılan Uç Nokta için Microsoft Defender için önceki FlexConnector'ın yerini alır.
Elastik
Elastik Güvenlik, SIEM tehdit algılama özelliklerini uç nokta önleme ve yanıt özellikleriyle tek bir çözümde birleştirir. Microsoft Defender XDR ve Uç Nokta için Defender için Esnek tümleştirme, kuruluşların araştırma ve olay yanıtı gerçekleştirmek için Elastik Güvenlik içindeki Defender'dan gelen olaylardan ve uyarılardan yararlanmasına olanak tanır. Elastik, tehditleri hızla bulmak için güçlü algılama kuralları kullanarak bu verileri bulut, ağ ve uç nokta kaynakları gibi diğer veri kaynaklarıyla ilişkilendirmektedir. Elastik bağlayıcı hakkında daha fazla bilgi için bkz. Microsoft M365 Defender | Elastik belgeler
Event Hubs aracılığıyla akış olayı verilerini alma
öncelikle olayları Microsoft Entra kiracınızdan Event Hubs veya Azure Depolama Hesabınıza akışla aktarmanız gerekir. Daha fazla bilgi için bkz . Akış API'si.
Akış API'sinin desteklediği olay türleri hakkında daha fazla bilgi için bkz. Desteklenen akış olay türleri.
Splunk
olayları Azure Event Hubs almak için Microsoft Cloud Services için Splunk Eklentisini kullanın.
Microsoft Cloud Services için Splunk Eklentisi hakkında daha fazla bilgi için bkz. Splunkbase'de Microsoft Cloud Services Eklentisi.
IBM QRadar
Event Hubs veya Azure Depolama Hesabı aracılığıyla Microsoft Defender XDR ürünlerden akış olay verilerinin alımına olanak tanıyan Microsoft Defender XDR Akış API'sini çağıran yeni IBM QRadar Microsoft Defender XDR Cihaz Destek Modülü'ni (DSM) kullanın. Desteklenen olay türleri hakkında daha fazla bilgi için bkz . Desteklenen olay türleri.
Elastik
Elastik akış API'si tümleştirmesi hakkında daha fazla bilgi için bkz. Microsoft M365 Defender | Elastik belgeler.
İlgili makaleler
Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin