Integración de las herramientas siem con Microsoft Defender para punto de conexión

Se aplica a:

Ingesta de alertas mediante herramientas de administración de eventos e información de seguridad (SIEM)

Nota

Microsoft Defender para punto de conexión Alerta se compone de uno o varios eventos sospechosos o malintencionados que se produjeron en el dispositivo y sus detalles relacionados. La API de alertas de Microsoft Defender para punto de conexión es la API más reciente para el consumo de alertas y contiene una lista detallada de pruebas relacionadas para cada alerta. Para obtener más información, vea Métodos y propiedades de alerta y Lista de alertas.

Microsoft Defender para punto de conexión admite herramientas de administración de eventos e información de seguridad (SIEM) que ingieren información del inquilino empresarial en Azure Active Directory (AAD) mediante el protocolo de autenticación de OAuth 2.0 para un AAD registrado aplicación que representa la solución siem específica o el conector instalado en el entorno.

Para más información, vea:

Microsoft Defender para punto de conexión admite actualmente las siguientes integraciones de soluciones SIEM:

Ingesta de incidentes y alertas desde las API REST de Microsoft 365 Defender y Microsoft Defender para punto de conexión incidentes y alertas

Ingesta de incidentes desde la API REST de incidentes de Microsoft 365 Defender

Para obtener más información sobre la API de incidentes de Microsoft 365 Defender, consulte métodos y propiedades de incidentes.

Ingesta de alertas desde la API REST de alertas de Microsoft Defender para punto de conexión

Para obtener más información sobre la API de alertas de Microsoft Defender para punto de conexión, consulte métodos y propiedades de alertas.

Integración de herramientas SIEM con Microsoft Defender para punto de conexión

Splunk

Uso del complemento Microsoft 365 Defender para Splunk que admite:

  • Ingesta de alertas de Microsoft Defender para punto de conexión
  • Actualización de alertas en Microsoft Defender para punto de conexión desde Splunk

Para obtener más información sobre el complemento de Microsoft 365 Defender para Splunk, consulte splunkbase.

Micro Focus ArcSight

El nuevo SmartConnector para Microsoft 365 Defender ingiere incidentes que contienen alertas de todos los productos Microsoft 365 Defender ,incluidos los Microsoft Defender para punto de conexión, en ArcSight y los asigna a su Common Event Framework (CEF).

Para obtener más información sobre el nuevo ArcSight SmartConnector para Microsoft 365 Defender, consulte la documentación del producto ArcSight.

SmartConnector reemplaza al FlexConnector anterior para Microsoft 365 Defender.

IBM QRadar

Nota

La integración de IBM QRadar con Microsoft 365 Defender, que incluyen Microsoft Defender para punto de conexión, ahora es compatible con el nuevo módulo de compatibilidad de dispositivos de Microsoft 365 Defender (DSM) que llama al Microsoft 365 Defender API de streaming que permite ingerir datos de eventos de streaming de productos de Microsoft 365 Defender, incluidos Microsoft Defender para punto de conexión. Para obtener más información sobre el nuevo QRadar Microsoft 365 Defender DSM, consulte la documentación del producto IBM QRadar y para obtener más información sobre los tipos de eventos compatibles con Streaming API, consulte Tipos de eventos admitidos.

Los nuevos clientes ya no se incorporan con el módulo de soporte técnico de dispositivos de ATP (DSM) de Microsoft Defender de QRadar anterior, y se recomienda a los clientes existentes que adopten el nuevo Microsoft 365 Defender DSM como su único punto de integración con todos los productos Microsoft 365 Defender.

Ingesta de eventos Microsoft Defender para punto de conexión desde la API de streaming de eventos de Microsoft 365 Defender

Microsoft 365 Defender datos de eventos de streaming incluye alertas y otros eventos de Microsoft Defender para punto de conexión y otros productos de Microsoft Defender. Estos eventos se pueden transmitir a una cuenta de Azure Storage o a Azure Event Hubs. Splunk e IBM QRadar admiten actualmente el modelo de integración a través de event Hubs.

Para obtener más información, consulte Microsoft 365 Defender integración de SIEM.