将 SIEM 工具与 Microsoft Defender XDR 集成
适用于:
使用安全信息和事件管理 (SIEM) 工具拉取Microsoft Defender XDR 事件和流事件数据
注意
- Microsoft Defender XDR 事件 包含相关警报及其证据的集合。
- Microsoft Defender XDR 流式处理 API 将事件数据从 Microsoft Defender XDR 流式传输到事件中心或 Azure 存储帐户。
Microsoft Defender XDR 支持安全信息和事件管理 (SIEM) 工具使用 OAuth 2.0 身份验证协议从企业租户中引入信息,Microsoft Entra ID 中使用 OAuth 2.0 身份验证协议从已注册的 Microsoft Entra 应用程序引入信息,该应用程序代表环境中安装的特定 SIEM 解决方案或连接器。
有关更多信息,请参阅:
引入安全信息的主要模型有两种:
从 Azure 中的 REST API 引入Microsoft Defender XDR 事件及其包含的警报。
通过 Azure 事件中心或 Azure 存储帐户引入流事件数据。
Microsoft Defender XDR 当前支持以下 SIEM 解决方案集成:
从事件 REST API 引入事件
事件架构
有关Microsoft Defender XDR 事件属性(包括包含的警报和证据实体元数据)的详细信息,请参阅 架构映射。
Splunk
使用完全受支持的全新 Splunk 加载项实现Microsoft安全性,该加载项支持:
引入包含来自以下产品的警报的事件,这些警报映射到 Splunk 的公共信息模型 (CIM) :
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity and Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
从 Defender for Endpoint 的 Azure 终结点 (引入 Defender for Endpoint 警报) 并更新这些警报
支持更新 Microsoft Defender XDR 事件和/或 Microsoft Defender for Endpoint 警报,并且各自的仪表板已移动到 Microsoft 365 App for Splunk。
有关详细信息,请参阅:
用于Microsoft安全的 Splunk 加载项,请参阅 Splunkbase 上的Microsoft安全加载项
Microsoft 365 App for Splunk,请参阅 Splunkbase 上的 Microsoft 365 应用
Micro Focus ArcSight
用于 Microsoft Defender XDR 的新 SmartConnector 会将事件引入 ArcSight,并将其映射到其通用事件框架 (CEF) 。
有关适用于 Microsoft Defender XDR 的新 ArcSight SmartConnector 的详细信息,请参阅 ArcSight 产品文档。
SmartConnector 替换了现已停用的 Microsoft Defender for Endpoint 的以前的 FlexConnector。
弹性的
弹性安全性将 SIEM 威胁检测功能与终结点防护和响应功能结合在一个解决方案中。 Microsoft Defender XDR 和 Defender for Endpoint 的弹性集成使组织能够利用 Elastic Security 中来自 Defender 的事件和警报来执行调查和事件响应。 弹性使用可靠的检测规则将此数据与其他数据源(包括云、网络和终结点源)相关联,以快速查找威胁。 有关弹性连接器的详细信息,请参阅: Microsoft M365 Defender |弹性文档
通过事件中心引入流式处理事件数据
首先,需要将事件从 Microsoft Entra 租户流式传输到事件中心或 Azure 存储帐户。 有关详细信息,请参阅 流式处理 API。
有关流式处理 API 支持的事件类型的详细信息,请参阅 支持的流式处理事件类型。
Splunk
使用适用于 Microsoft 云服务的 Splunk 加载项从 Azure 事件中心引入事件。
有关适用于 Microsoft 云服务的 Splunk 加载项的详细信息,请参阅 Splunkbase 上的 Microsoft 云服务加载项。
IBM QRadar
使用新的 IBM QRadar Microsoft Defender XDR 设备支持模块 (DSM) 调用 Microsoft Defender XDR 流式处理 API ,该 API 允许通过事件中心或 Azure 存储帐户从 Microsoft Defender XDR 产品引入流事件数据。 有关支持的事件类型的详细信息,请参阅 支持的事件类型。
弹性的
有关弹性流式处理 API 集成的详细信息,请参阅 Microsoft M365 Defender |弹性文档。
相关文章
使用 Microsoft Graph 安全 API - Microsoft Graph |Microsoft Learn
提示
想要了解更多信息? 在我们的技术社区:Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动。