Intégrer vos outils SIEM avec Microsoft Defender XDR

S’applique à :

• Microsoft Defender pour point de terminaison
• Microsoft Defender XDR

Remarque

Essayez nos nouvelles API à l’aide de l’API de sécurité MS Graph. Pour plus d’informations, consultez : Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn.

Extraire Microsoft Defender XDR incidents et diffuser en continu des données d’événements à l’aide d’outils SIEM (Security Information and Events Management)

Remarque

• Microsoft Defender XDR Incidents se compose de collections d’alertes corrélées et de leurs preuves.
• l’API de streaming Microsoft Defender XDR diffuse des données d’événement de Microsoft Defender XDR vers event hubs ou comptes de stockage Azure.

Microsoft Defender XDR prend en charge les outils SIEM (Security Information and Event Management) qui ingèrent les informations de votre locataire d’entreprise dans Microsoft Entra ID à l’aide du protocole d’authentification OAuth 2.0 pour une application Microsoft Entra inscrite représentant la solution SIEM ou le connecteur spécifique installé dans votre Environnement.

Pour plus d’informations, consultez l’article suivant :

• Licence et conditions d’utilisation des API Microsoft Defender XDR
• Accéder aux API Microsoft Defender XDR
• Exemple Hello World
• Obtenir l’accès avec le contexte de l’application

Il existe deux modèles principaux pour ingérer les informations de sécurité :

1. Ingestion d’incidents Microsoft Defender XDR et de leurs alertes contenues à partir d’une API REST dans Azure.

2. Ingérer des données d’événements de streaming via Azure Event Hubs ou des comptes de stockage Azure.

Microsoft Defender XDR prend actuellement en charge les intégrations de solutions SIEM suivantes :

• Ingestion d’incidents à partir de l’API REST incidents
• Ingérer des données d’événement de streaming via Event Hub

Ingestion d’incidents à partir de l’API REST incidents

Schéma d’incident

Pour plus d’informations sur Microsoft Defender XDR propriétés d’incident, y compris les métadonnées des entités d’alerte et de preuve contenues, consultez Mappage de schéma.

Splunk

Utilisation du nouveau module complémentaire Splunk entièrement pris en charge pour la sécurité Microsoft qui prend en charge les éléments suivants :

• Ingérer des incidents qui contiennent des alertes des produits suivants, qui sont mappés au modèle CIM (Common Information Model) de Splunk :

  • Microsoft Defender XDR
  • Microsoft Defender pour point de terminaison
  • Microsoft Defender pour Identity et Protection Microsoft Entra ID
  • Microsoft Defender for Cloud Apps

• Ingestion des alertes Defender pour point de terminaison (à partir du point de terminaison Azure de Defender pour point de terminaison) et mise à jour de ces alertes

• La prise en charge de la mise à jour des incidents Microsoft Defender XDR et/ou des alertes Microsoft Defender pour point de terminaison et des tableaux de bord respectifs a été déplacée vers l’application Microsoft 365 pour Splunk.

Pour plus d’informations :

• Le module complémentaire Splunk pour la sécurité Microsoft, consultez le module complémentaire de sécurité Microsoft sur Splunkbase

• L’application Microsoft 365 pour Splunk, consultez l’application Microsoft 365 sur Splunkbase

Micro Focus ArcSight

Le nouveau SmartConnector pour Microsoft Defender XDR ingère les incidents dans ArcSight et les mappe à son Common Event Framework (CEF).

Pour plus d’informations sur le nouveau SmartConnector ArcSight pour Microsoft Defender XDR, consultez la documentation du produit ArcSight.

SmartConnector remplace l’ancien FlexConnector pour Microsoft Defender pour point de terminaison qui a été déprécié.

Élastique

Elastic Security combine des fonctionnalités de détection des menaces SIEM avec des fonctionnalités de prévention et de réponse aux points de terminaison dans une solution. L’intégration élastique pour Microsoft Defender XDR et Defender pour point de terminaison permet aux organisations de tirer parti des incidents et des alertes de Defender dans Elastic Security pour effectuer des investigations et des réponses aux incidents. Elastic met en corrélation ces données avec d’autres sources de données, notamment le cloud, le réseau et les sources de point de terminaison à l’aide de règles de détection robustes pour trouver rapidement les menaces. Pour plus d’informations sur le connecteur élastique, consultez : Microsoft M365 Defender | Documentation élastique

Ingérer des données d’événement de streaming via Event Hubs

Tout d’abord, vous devez diffuser en continu les événements de votre locataire Microsoft Entra vers votre compte Event Hubs ou Stockage Azure. Pour plus d’informations, consultez API de diffusion en continu.

Pour plus d’informations sur les types d’événements pris en charge par l’API de streaming, consultez Types d’événements de streaming pris en charge.

Splunk

Utilisez le module complémentaire Splunk pour Microsoft Services cloud pour ingérer des événements à partir de Azure Event Hubs.

Pour plus d’informations sur le module complémentaire Splunk pour Microsoft Services cloud, consultez le module complémentaire Microsoft Services cloud sur Splunkbase.

IBM QRadar

Utilisez le nouveau module de support d’appareil (DSM) IBM QRadar Microsoft Defender XDR qui appelle l’API de streaming Microsoft Defender XDR qui permet d’ingérer des données d’événements de streaming à partir de Microsoft Defender XDR produits via Event Hubs ou un compte de stockage Azure. Pour plus d’informations sur les types d’événements pris en charge, consultez Types d’événements pris en charge.

Élastique

Pour plus d’informations sur l’intégration de l’API de streaming élastique, consultez Microsoft M365 Defender | Documents élastiques.

Articles connexes

Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph | Microsoft Learn

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.