Share via

Integrowanie narzędzi SIEM z usługą Microsoft Defender XDR

  • Artykuł

Dotyczy:

Uwaga

Wypróbuj nasze nowe interfejsy API przy użyciu interfejsu API zabezpieczeń programu MS Graph. Dowiedz się więcej na stronie: Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn.

Ściąganie Microsoft Defender XDR zdarzeń i przesyłanie strumieniowe danych zdarzeń przy użyciu narzędzi do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM)

Uwaga

Microsoft Defender XDR obsługuje narzędzia do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) pozyskujące informacje z dzierżawy przedsiębiorstwa w Tożsamość Microsoft Entra przy użyciu protokołu uwierzytelniania OAuth 2.0 dla zarejestrowanego Microsoft Entra aplikacja reprezentująca określone rozwiązanie SIEM lub łącznik zainstalowany w środowisku.

Więcej informacji można znaleźć w następujących artykułach:

Istnieją dwa podstawowe modele do pozyskiwania informacji o zabezpieczeniach:

  1. Pozyskiwanie zdarzeń Microsoft Defender XDR i zawartych w nich alertów z interfejsu API REST na platformie Azure.

  2. Pozyskiwanie danych zdarzeń przesyłania strumieniowego za pośrednictwem kont usługi Azure Event Hubs lub konta usługi Azure Storage.

Microsoft Defender XDR obecnie obsługuje następujące integracje rozwiązań SIEM:

Pozyskiwanie zdarzeń z interfejsu API REST zdarzeń

Schemat zdarzeń

Aby uzyskać więcej informacji na temat właściwości Microsoft Defender XDR zdarzenia, w tym zawartych metadanych jednostek alertów i dowodów, zobacz Mapowanie schematu.

Splunk

Korzystanie z nowego, w pełni obsługiwanego dodatku Splunk dla usługi Microsoft Security, który obsługuje:

  • Pozyskiwanie zdarzeń zawierających alerty z następujących produktów, które są mapowane na model Common Information Model (CIM) firmy Splunk:

    • Microsoft Defender XDR
    • Ochrona punktu końcowego w usłudze Microsoft Defender
    • Microsoft Defender for Identity i Ochrona tożsamości Microsoft Entra
    • Microsoft Defender for Cloud Apps

  • Pozyskiwanie alertów usługi Defender for Endpoint (z punktu końcowego platformy Azure w usłudze Defender for Endpoint) i aktualizowanie tych alertów

  • Obsługa aktualizowania Microsoft Defender XDR zdarzeń i/lub alertów Ochrona punktu końcowego w usłudze Microsoft Defender oraz odpowiednich pulpitów nawigacyjnych została przeniesiona do aplikacji Microsoft 365 for Splunk.

Aby uzyskać więcej informacji na temat:

Micro Focus ArcSight

Nowy program SmartConnector do Microsoft Defender XDR pozyskuje zdarzenia do usługi ArcSight i mapuje je na platformę Common Event Framework (CEF).

Aby uzyskać więcej informacji na temat nowego programu ArcSight SmartConnector for Microsoft Defender XDR, zobacz Dokumentacja produktu ArcSight.

Funkcja SmartConnector zastępuje poprzednią funkcję FlexConnector dla Ochrona punktu końcowego w usłudze Microsoft Defender, która została przestarzała.

Elastyczne

Usługa Elastic Security łączy funkcje wykrywania zagrożeń SIEM z funkcjami zapobiegania punktom końcowym i reagowania w jednym rozwiązaniu. Integracja elastyczna dla Microsoft Defender XDR i usługi Defender for Endpoint umożliwia organizacjom korzystanie z zdarzeń i alertów z usługi Defender w ramach usługi Elastic Security w celu przeprowadzania badań i reagowania na zdarzenia. Elastyczność koreluje te dane z innymi źródłami danych, w tym źródłami chmury, sieci i punktów końcowych przy użyciu niezawodnych reguł wykrywania, aby szybko znaleźć zagrożenia. Aby uzyskać więcej informacji na temat łącznika elastycznego, zobacz: Microsoft M365 Defender | Dokumentacja elastyczna

Pozyskiwanie danych zdarzeń przesyłania strumieniowego za pośrednictwem usługi Event Hubs

Najpierw musisz przesyłać strumieniowo zdarzenia z dzierżawy Microsoft Entra do usługi Event Hubs lub konta usługi Azure Storage. Aby uzyskać więcej informacji, zobacz Interfejs API przesyłania strumieniowego.

Aby uzyskać więcej informacji na temat typów zdarzeń obsługiwanych przez interfejs API przesyłania strumieniowego, zobacz Obsługiwane typy zdarzeń przesyłania strumieniowego.

Splunk

Użyj dodatku Splunk dla Cloud Services firmy Microsoft, aby pozyskiwać zdarzenia z Azure Event Hubs.

Aby uzyskać więcej informacji na temat dodatku Splunk dla usługi Microsoft Cloud Services, zobacz dodatek Microsoft Cloud Services Splunkbase.

IBM QRadar

Użyj nowego modułu pomocy technicznej urządzenia IBM QRadar Microsoft Defender XDR Device Support Module (DSM), który wywołuje interfejs API przesyłania strumieniowego Microsoft Defender XDR, który umożliwia pozyskiwanie danych zdarzeń przesyłania strumieniowego z produktów Microsoft Defender XDR za pośrednictwem usługi Event Hubs lub konta usługi Azure Storage. Aby uzyskać więcej informacji na temat obsługiwanych typów zdarzeń, zobacz Obsługiwane typy zdarzeń.

Elastyczne

Aby uzyskać więcej informacji na temat integracji interfejsu API przesyłania strumieniowego elastycznego, zobacz Microsoft M365 Defender | Elastyczne dokumenty.

Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.