Integración de las herramientas SIEM con Microsoft 365 Defender

Se aplica a:

Extraer Microsoft 365 Defender incidentes y datos de eventos de streaming con herramientas de administración de eventos y información de seguridad (SIEM)

Nota

Microsoft 365 Defender admite la información de seguridad y las herramientas de administración de eventos (SIEM) que ingieren información del inquilino empresarial en Azure Active Directory (AAD) mediante el protocolo de autenticación OAuth 2.0 para una aplicación AAD registrada que represente la solución o conector SIEM específico instalado en su entorno.

Para más información, vea:

Hay dos modelos principales para ingerir información de seguridad:

  1. Ingerir Microsoft 365 Defender incidentes y sus alertas contenidas desde una API de REST en Azure.

  2. Ingerir datos de eventos de streaming a través de Azure Event Hubs o Azure Storage cuentas.

Microsoft 365 Defender admite actualmente las siguientes integraciones de soluciones SIEM:

Ingesta de incidentes desde la API de REST de incidentes

Esquema de incidentes

Para obtener más información sobre Microsoft 365 Defender de incidentes incluidos los metadatos de entidades de alerta y evidencia contenidos, vea Asignación de esquema.

Splunk

Usar el Microsoft 365 Defender complemento para Splunk que admite:

  • Ingerir incidentes que contienen alertas de los siguientes productos, que se asignan al modelo de información común (CIM) de Splunk:

    • Microsoft 365 Defender
    • Microsoft Defender para punto de conexión
    • Microsoft Defender para identity and Azure Active Directory identity protection
    • Microsoft Defender for Cloud Apps
  • Actualizar incidentes en Microsoft 365 Defender desde Splunk

  • Ingerir alertas de Defender para puntos de conexión (desde el punto de conexión de Azure de Defender for Endpoint) y actualizar estas alertas

Para obtener más información sobre Microsoft 365 Defender complemento para Splunk, vea splunkbase.

Micro Focus ArcSight

El nuevo SmartConnector para Microsoft 365 Defender incidentes en ArcSight y los asigna a su Marco de eventos comunes (CEF).

Para obtener más información sobre el nuevo ArcSight SmartConnector para Microsoft 365 Defender, consulte Documentación del producto de ArcSight.

SmartConnector reemplaza al flexconnector anterior para Microsoft Defender para endpoint.

Ingesta de datos de eventos de streaming a través de centros de eventos

Primero debe transmitir eventos desde el espacio empresarial AAD a los centros de eventos o Azure Storage cuenta. Para obtener más información, vea Streaming API.

Para obtener más información sobre los tipos de eventos admitidos por la API de streaming, vea Supported streaming event types.

Splunk

Use el complemento Splunk para Microsoft Cloud Services para ingerir eventos de Azure Event Hubs.

Para obtener más información sobre el complemento Splunk para Microsoft Cloud Services, vea splunkbase.

IBM QRadar

Use el nuevo módulo de soporte de dispositivos (DSM) de IBM QRadar Microsoft 365 Defender que llama a la API de streaming de Microsoft 365 Defender que permite ingerir datos de eventos de streaming de Microsoft 365 Defender productos. Para obtener más información sobre los tipos de eventos admitidos, vea Supported event types.