將您的 SIEM 工具與 Microsoft Defender XDR 整合
適用於:
使用安全性資訊和事件管理 (SIEM) 工具來提取 Microsoft Defender XDR 事件和串流事件數據
注意事項
- Microsoft Defender XDR 事件 是由相互關聯警示及其辨識項的集合所組成。
- Microsoft Defender XDR 串流 API 會將事件數據從 Microsoft Defender XDR 串流至事件中樞或 Azure 儲存器帳戶。
Microsoft Defender XDR 支援安全性資訊和事件管理 (SIEM) 工具,使用 OAuth 2.0 驗證通訊協定,從您的企業租使用者擷取您企業 Microsoft租用戶的資訊,以使用 OAuth 2.0 驗證通訊協定,針對已註冊的 Microsoft Entra 應用程式,代表安裝在您環境中的特定 SIEM 解決方案或連接器。
如需詳細資訊,請參閱:
有兩種主要模型可內嵌安全性資訊:
從 Azure 中的 REST API 擷取Microsoft Defender XDR 事件及其包含的警示。
透過 Azure 事件中樞或 Azure 儲存體帳戶內嵌串流事件資料。
Microsoft Defender XDR 目前支援下列 SIEM 解決方案整合:
從 REST API 中內嵌事件
事件結構描述
如需Microsoft Defender XDR 事件屬性的詳細資訊,包括包含的警示和辨識項實體元數據,請參閱 架構對應。
Splunk
針對支援下列專案的Microsoft安全性使用全新、完全支援的Splunk附加元件:
正在內嵌包含下列產品警示的事件, 這些產品會對應至 Splunk 的通用訊息模型 (CIM):
- Microsoft Defender XDR
- 適用於端點的 Microsoft Defender
- Microsoft適用於身分識別和Microsoft標識符保護的 Defender
- Microsoft 雲端 App 安全性
內嵌適用於端點的 Defender 警示 (來自適用於端點的 Defender 之 Azure 端點) 並更新這些警示
更新適用於端點Microsoft Defender XDR 事件和/或 Microsoft Defender 和個別儀錶板的支援已移至適用於 Splunk 的 Microsoft 365 應用程式。
如需下列詳細資訊:
適用於 Microsoft 安全性的 Splunk 附加元件,請參 閱 Splunkbase 上的 Microsoft 安全性附加元件
Microsoft 365 App for Splunk,請參閱 Splunkbase 上的 Microsoft 365 應用程式
Micro Focus ArcSight
適用於 Microsoft Defender XDR 的新 SmartConnector 會將事件擷取至 ArcSight,並將這些事件對應至其 Common Event Framework (CEF) 。
如需適用於 Microsoft Defender XDR 的新 ArcSight SmartConnector 詳細資訊,請參閱 ArcSight 產品檔。
SmartConnector 會取代先前已淘汰的適用於端點Microsoft Defender 的 FlexConnector。
彈性的
彈性安全性會將 SIEM 威脅偵測功能與端點防護和回應功能結合在一個解決方案中。 適用於 Microsoft Defender XDR 和適用於端點的 Defender 的彈性整合可讓組織利用 Elastic Security 內 Defender 的事件和警示來執行調查和事件回應。 使用強固的偵測規則快速尋找威脅,將此數據與其他數據源相互關聯,包括雲端、網路和端點來源。 如需彈性連接器的詳細資訊,請 參閱:Microsoft M365 Defender |彈性檔
透過事件中樞內嵌串流事件資料
首先,您需要將事件從 Microsoft Entra 租使用者串流至事件中樞或 Azure 記憶體帳戶。 如需詳細資訊, 請參閱 串流 API。
有關串流 API 支援的事件類型詳細資訊, 請參閱 支援的串流事件類型。
Splunk
使用 Microsoft 雲端服務的 Splunk 附加元件, 從 Azure 事件中樞內嵌事件。
如需 Microsoft 雲端服務之 Splunk 附加元件的詳細資訊,請參 閱 Splunkbase 上的 Microsoft 雲端服務附加元件。
IBM QRadar
使用新的 IBM QRadar Microsoft Defender XDR 裝置支援模組 (DSM) ,其會呼叫 Microsoft Defender XDR 串流 API ,以允許透過事件中樞或 Azure 儲存器帳戶從 Microsoft Defender XDR 產品擷取串流事件數據。 有關支援的事件類型詳細資訊, 請參閱 支援的事件類型。
彈性的
如需彈性串流 API 整合的詳細資訊,請 參閱 Microsoft M365 Defender |彈性檔。
相關文章
使用 Microsoft Graph 安全性 API - Microsoft Graph |Microsoft Learn
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft Defender XDR 技術社群。