Integrowanie narzędzi SIEM z usługą Microsoft Defender XDR
Dotyczy:
Uwaga
Wypróbuj nasze nowe interfejsy API przy użyciu interfejsu API zabezpieczeń programu MS Graph. Dowiedz się więcej na stronie: Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph | Microsoft Learn.
Ściąganie Microsoft Defender XDR zdarzeń i przesyłanie strumieniowe danych zdarzeń przy użyciu narzędzi do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM)
Uwaga
- Microsoft Defender XDR Zdarzenia składają się z kolekcji skorelowanych alertów i ich dowodów.
- Microsoft Defender XDR interfejs API przesyłania strumieniowego przesyła strumieniowo dane zdarzeń z Microsoft Defender XDR do centrów zdarzeń lub kont usługi Azure Storage.
Microsoft Defender XDR obsługuje narzędzia do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) pozyskujące informacje z dzierżawy przedsiębiorstwa w Tożsamość Microsoft Entra przy użyciu protokołu uwierzytelniania OAuth 2.0 dla zarejestrowanego Microsoft Entra aplikacja reprezentująca określone rozwiązanie SIEM lub łącznik zainstalowany w środowisku.
Więcej informacji można znaleźć w następujących artykułach:
- Microsoft Defender XDR licencji interfejsów API i warunków użytkowania
- Uzyskiwanie dostępu do interfejsów API Microsoft Defender XDR
- Hello World — przykład
- Uzyskiwanie dostępu za pomocą kontekstu aplikacji
Istnieją dwa podstawowe modele do pozyskiwania informacji o zabezpieczeniach:
Pozyskiwanie zdarzeń Microsoft Defender XDR i zawartych w nich alertów z interfejsu API REST na platformie Azure.
Pozyskiwanie danych zdarzeń przesyłania strumieniowego za pośrednictwem kont usługi Azure Event Hubs lub konta usługi Azure Storage.
Microsoft Defender XDR obecnie obsługuje następujące integracje rozwiązań SIEM:
- Pozyskiwanie zdarzeń z interfejsu API REST zdarzeń
- Pozyskiwanie danych zdarzeń przesyłania strumieniowego za pośrednictwem centrum zdarzeń
Pozyskiwanie zdarzeń z interfejsu API REST zdarzeń
Schemat zdarzeń
Aby uzyskać więcej informacji na temat właściwości Microsoft Defender XDR zdarzenia, w tym zawartych metadanych jednostek alertów i dowodów, zobacz Mapowanie schematu.
Splunk
Korzystanie z nowego, w pełni obsługiwanego dodatku Splunk dla usługi Microsoft Security, który obsługuje:
Pozyskiwanie zdarzeń zawierających alerty z następujących produktów, które są mapowane na model Common Information Model (CIM) firmy Splunk:
- Microsoft Defender XDR
- Ochrona punktu końcowego w usłudze Microsoft Defender
- Microsoft Defender for Identity i Ochrona tożsamości Microsoft Entra
- Microsoft Defender for Cloud Apps
Pozyskiwanie alertów usługi Defender for Endpoint (z punktu końcowego platformy Azure w usłudze Defender for Endpoint) i aktualizowanie tych alertów
Obsługa aktualizowania Microsoft Defender XDR zdarzeń i/lub alertów Ochrona punktu końcowego w usłudze Microsoft Defender oraz odpowiednich pulpitów nawigacyjnych została przeniesiona do aplikacji Microsoft 365 for Splunk.
Aby uzyskać więcej informacji na temat:
Dodatek Splunk dla usługi Microsoft Security można znaleźć w dodatku Microsoft Security Na platformie Splunkbase
Aplikacja Platformy Microsoft 365 dla rozwiązania Splunk— zobacz Aplikację platformy Microsoft 365 na platformie Splunkbase
Micro Focus ArcSight
Nowy program SmartConnector do Microsoft Defender XDR pozyskuje zdarzenia do usługi ArcSight i mapuje je na platformę Common Event Framework (CEF).
Aby uzyskać więcej informacji na temat nowego programu ArcSight SmartConnector for Microsoft Defender XDR, zobacz Dokumentacja produktu ArcSight.
Funkcja SmartConnector zastępuje poprzednią funkcję FlexConnector dla Ochrona punktu końcowego w usłudze Microsoft Defender, która została przestarzała.
Elastyczne
Usługa Elastic Security łączy funkcje wykrywania zagrożeń SIEM z funkcjami zapobiegania punktom końcowym i reagowania w jednym rozwiązaniu. Integracja elastyczna dla Microsoft Defender XDR i usługi Defender for Endpoint umożliwia organizacjom korzystanie z zdarzeń i alertów z usługi Defender w ramach usługi Elastic Security w celu przeprowadzania badań i reagowania na zdarzenia. Elastyczność koreluje te dane z innymi źródłami danych, w tym źródłami chmury, sieci i punktów końcowych przy użyciu niezawodnych reguł wykrywania, aby szybko znaleźć zagrożenia. Aby uzyskać więcej informacji na temat łącznika elastycznego, zobacz: Microsoft M365 Defender | Dokumentacja elastyczna
Pozyskiwanie danych zdarzeń przesyłania strumieniowego za pośrednictwem usługi Event Hubs
Najpierw musisz przesyłać strumieniowo zdarzenia z dzierżawy Microsoft Entra do usługi Event Hubs lub konta usługi Azure Storage. Aby uzyskać więcej informacji, zobacz Interfejs API przesyłania strumieniowego.
Aby uzyskać więcej informacji na temat typów zdarzeń obsługiwanych przez interfejs API przesyłania strumieniowego, zobacz Obsługiwane typy zdarzeń przesyłania strumieniowego.
Splunk
Użyj dodatku Splunk dla Cloud Services firmy Microsoft, aby pozyskiwać zdarzenia z Azure Event Hubs.
Aby uzyskać więcej informacji na temat dodatku Splunk dla usługi Microsoft Cloud Services, zobacz dodatek Microsoft Cloud Services Splunkbase.
IBM QRadar
Użyj nowego modułu pomocy technicznej urządzenia IBM QRadar Microsoft Defender XDR Device Support Module (DSM), który wywołuje interfejs API przesyłania strumieniowego Microsoft Defender XDR, który umożliwia pozyskiwanie danych zdarzeń przesyłania strumieniowego z produktów Microsoft Defender XDR za pośrednictwem usługi Event Hubs lub konta usługi Azure Storage. Aby uzyskać więcej informacji na temat obsługiwanych typów zdarzeń, zobacz Obsługiwane typy zdarzeń.
Elastyczne
Aby uzyskać więcej informacji na temat integracji interfejsu API przesyłania strumieniowego elastycznego, zobacz Microsoft M365 Defender | Elastyczne dokumenty.
Artykuły pokrewne
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla