Integrar suas ferramentas SIEM com o Microsoft Defender XDR
Aplica-se a:
Observação
Experimente nossas novas APIs usando a API de segurança do MS Graph. Saiba mais em: Usar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn.
Pull Microsoft Defender XDR incidentes e streaming de dados de eventos usando ferramentas de SIEM (gerenciamento de informações de segurança e eventos)
Observação
- Microsoft Defender XDR Incidentes consiste em coleções de alertas correlacionados e suas evidências.
- Microsoft Defender XDR A API de Streaming transmite dados de eventos de Microsoft Defender XDR para hubs de eventos ou contas de armazenamento do Azure.
Microsoft Defender XDR dá suporte a ferramentas de SIEM (gerenciamento de eventos e informações de segurança) que ingerem informações do locatário da empresa em Microsoft Entra ID usando o protocolo de autenticação OAuth 2.0 para um aplicativo Microsoft Entra registrado que representa a solução siEM ou conector específico instalado em seu Ambiente.
Para saber mais, veja:
- Microsoft Defender XDR licença de APIs e termos de uso
- Acessar as APIs Microsoft Defender XDR
- Exemplo de Olá, Mundo
- Obter acesso com o contexto do aplicativo
Há dois modelos primários para ingerir informações de segurança:
Ingerir Microsoft Defender XDR incidentes e seus alertas contidos de uma API REST no Azure.
Ingerir dados de eventos de streaming por meio de contas de armazenamento do Hubs de Eventos do Azure ou do Azure.
Microsoft Defender XDR atualmente dá suporte às seguintes integrações de solução SIEM:
- Ingerir incidentes da API REST de incidentes
- Ingestão de dados de eventos de streaming por meio do Hub de Eventos
Ingerir incidentes da API REST de incidentes
Esquema de incidente
Para obter mais informações sobre Microsoft Defender XDR propriedades de incidentes, incluindo metadados de entidades de alerta e evidências contidas, consulte Mapeamento de esquema.
Splunk
Usando o novo suplemento splunk totalmente compatível com o Microsoft Security que dá suporte:
Ingerir incidentes que contêm alertas dos seguintes produtos, que são mapeados no CIM (Modelo de Informações Comuns) do Splunk):
- Microsoft Defender XDR
- Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Identidade e Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
Ingerir alertas do Defender para Ponto de Extremidade (do ponto de extremidade do Defender para Ponto de Extremidade) e atualizar esses alertas
O suporte para atualizar Microsoft Defender XDR Incidentes e/ou Microsoft Defender para Ponto de Extremidade Alertas e os respectivos painéis foram movidos para o Aplicativo Microsoft 365 para Splunk.
Para obter mais informações sobre:
O complemento splunk para Microsoft Security, consulte o Complemento de Segurança da Microsoft no Splunkbase
O Aplicativo Microsoft 365 para Splunk, confira o Aplicativo Microsoft 365 no Splunkbase
Micro Focus ArcSight
O novo SmartConnector para Microsoft Defender XDR ingere incidentes no ArcSight e os mapeia para sua CEF (Common Event Framework).
Para obter mais informações sobre o novo ArcSight SmartConnector para Microsoft Defender XDR, consulte Documentação do produto ArcSight.
O SmartConnector substitui o FlexConnector anterior por Microsoft Defender para Ponto de Extremidade que foi preterido.
Elástico
A Segurança Elástica combina recursos de detecção de ameaças do SIEM com recursos de prevenção e resposta de ponto de extremidade em uma solução. A integração elástica para Microsoft Defender XDR e Defender para Ponto de Extremidade permite que as organizações aproveitem incidentes e alertas do Defender dentro da Segurança Elástica para executar investigações e resposta a incidentes. Elástico correlaciona esses dados com outras fontes de dados, incluindo fontes de nuvem, rede e ponto de extremidade usando regras de detecção robustas para encontrar ameaças rapidamente. Para obter mais informações sobre o conector Elástico, confira: Microsoft M365 Defender | Documentos elásticos
Ingerir dados de eventos de streaming por meio de Hubs de Eventos
Primeiro, você precisa transmitir eventos do locatário Microsoft Entra para os Hubs de Eventos ou a Conta de Armazenamento do Azure. Para obter mais informações, consulte API de Streaming.
Para obter mais informações sobre os tipos de eventos compatíveis com a API de Streaming, confira Tipos de eventos de streaming com suporte.
Splunk
Use o Suplemento splunk para a Microsoft Serviços de Nuvem para ingerir eventos de Hubs de Eventos do Azure.
Para obter mais informações sobre o Complemento do Splunk para Microsoft Serviços de Nuvem, consulte o Complemento do Microsoft Serviços de Nuvem no Splunkbase.
IBM QRadar
Use o novo DSM (Ibm QRadar Microsoft Defender XDR Device Support Module) que chama a API de Streaming Microsoft Defender XDR que permite a ingestão de dados de eventos de streaming de produtos Microsoft Defender XDR por meio de Hubs de Eventos ou conta de armazenamento do Azure. Para obter mais informações sobre tipos de evento com suporte, consulte Tipos de evento com suporte.
Elástico
Para obter mais informações sobre a integração da API de streaming elástico, consulte Microsoft M365 Defender | Documentos elásticos.
Artigos relacionados
Usar a API de segurança do Microsoft Graph – Microsoft Graph | Microsoft Learn
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de