将 SIEM 工具与 Microsoft Defender XDR 集成

适用于：

• Microsoft Defender for Endpoint
• Microsoft Defender XDR

注意

使用 MS Graph 安全 API 试用我们的新 API。 有关详细信息，请查看： 使用 Microsoft Graph 安全 API - Microsoft Graph |Microsoft Learn。

使用安全信息和事件管理 (SIEM) 工具拉取Microsoft Defender XDR事件和流事件数据

注意

• Microsoft Defender XDR事件包含相关警报及其证据的集合。
• Microsoft Defender XDR流式处理 API 将事件数据从Microsoft Defender XDR流式传输到事件中心或 Azure 存储帐户。

Microsoft Defender XDR支持安全信息和事件管理 (SIEM) 工具使用 OAuth 2.0 身份验证协议从Microsoft Entra ID企业租户中引入信息，该应用程序代表安装在你的特定 SIEM 解决方案或连接器的已注册Microsoft Entra应用程序环境。

有关更多信息，请参阅：

• Microsoft Defender XDR API 许可证和使用条款
• 访问Microsoft Defender XDR API
• Hello World 示例
• 通过应用上下文获得访问权限

引入安全信息的主要模型有两种：

1. 从 Azure 中的 REST API 引入Microsoft Defender XDR事件及其包含的警报。

2. 通过 Azure 事件中心 或 Azure 存储帐户引入流事件数据。

Microsoft Defender XDR当前支持以下 SIEM 解决方案集成：

• 从事件 REST API 引入事件
• 通过事件中心引入流式处理事件数据

从事件 REST API 引入事件

事件架构

有关Microsoft Defender XDR事件属性的详细信息，包括包含的警报和证据实体元数据，请参阅架构映射。

Splunk

使用适用于 Microsoft Security 的全新完全受支持的 Splunk 加载项，该加载项支持：

• 引入包含来自以下产品的警报的事件，这些警报映射到 Splunk 的公共信息模型 (CIM) ：

  • Microsoft Defender XDR
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity和Microsoft Entra ID 保护
  • Microsoft Defender for Cloud Apps

• 从 Defender for Endpoint 的 Azure 终结点 (引入 Defender for Endpoint 警报) 并更新这些警报

• 支持更新Microsoft Defender XDR事件和/或Microsoft Defender for Endpoint警报以及相应的仪表板已移至 Microsoft 365 App for Splunk。

有关详细信息，请参阅：

• 适用于 Microsoft 安全的 Splunk 加载项，请参阅 Splunkbase 上的 Microsoft 安全加载项

• 适用于 Splunk 的 Microsoft 365 应用，请参阅 Splunkbase 上的 Microsoft 365 应用

Micro Focus ArcSight

用于Microsoft Defender XDR的新 SmartConnector 将事件引入 ArcSight，并将其映射到其通用事件框架 (CEF) 。

有关适用于Microsoft Defender XDR的新 ArcSight SmartConnector 的详细信息，请参阅 ArcSight 产品文档。

SmartConnector 替换了已弃用Microsoft Defender for Endpoint的前一个 FlexConnector。

弹性

弹性安全性将 SIEM 威胁检测功能与终结点防护和响应功能结合在一个解决方案中。 Microsoft Defender XDR和 Defender for Endpoint 的弹性集成使组织能够利用 Elastic Security 中来自 Defender 的事件和警报来执行调查和事件响应。 弹性使用可靠的检测规则将此数据与其他数据源（包括云、网络和终结点源）相关联，以快速查找威胁。 有关弹性连接器的详细信息，请参阅： Microsoft M365 Defender |弹性文档

通过事件中心引入流式处理事件数据

首先，需要将事件从Microsoft Entra租户流式传输到事件中心或 Azure 存储帐户。 有关详细信息，请参阅 流式处理 API。

有关流式处理 API 支持的事件类型的详细信息，请参阅 支持的流式处理事件类型。

Splunk

使用适用于 Microsoft 的 Splunk 加载项云服务从Azure 事件中心引入事件。

有关适用于 Microsoft 云服务的 Splunk 加载项的详细信息，请参阅 Splunkbase 上的 Microsoft 云服务 加载项。

IBM QRadar

使用新的 IBM QRadar Microsoft Defender XDR 设备支持模块 (DSM) 调用允许通过事件中心或 Azure 存储帐户从Microsoft Defender XDR产品引入流事件数据的Microsoft Defender XDR流式处理 API。 有关支持的事件类型的详细信息，请参阅 支持的事件类型。

弹性

有关弹性流式处理 API 集成的详细信息，请参阅 Microsoft M365 Defender |弹性文档。

相关文章

使用 Microsoft Graph 安全 API - Microsoft Graph |Microsoft Learn

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender XDR技术社区。