Integrar suas ferramentas SIEM ao Microsoft 365 Defender

Aplica-se a:

Puxar Microsoft 365 Defender incidentes e dados de eventos de streaming usando ferramentas de gerenciamento de informações e eventos de segurança (SIEM)

Observação

Microsoft 365 Defender oferece suporte a ferramentas de gerenciamento de informações de segurança e eventos (SIEM) que ingerem informações de seu locatário empresarial em Azure Active Directory (AAD) usando o protocolo de autenticação OAuth 2.0 para um aplicativo AAD registrado que representa a solução siem específica ou conector instalado em sua environment.

Para saber mais, confira:

Há dois modelos principais para ingerir informações de segurança:

  1. Ingerir Microsoft 365 Defender incidentes e seus alertas contidos de uma API REST no Azure.

  2. Ingerir dados de eventos de streaming por meio de Hubs de Eventos do Azure ou contas Armazenamento Azure.

Microsoft 365 Defender atualmente suporta as seguintes integrações de solução SIEM:

Ingesting incidents from the incidents REST API

Esquema de incidentes

Para obter mais informações sobre Microsoft 365 Defender de incidentes, incluindo metadados de entidades de alerta e evidências contidas, consulte Mapeamento de esquema.

Splunk

Usando o Microsoft 365 Defender complemento do Splunk compatível com:

  • Ingestão de incidentes que contêm alertas dos seguintes produtos, que são mapeados para o CIM (Common Information Model) do Splunk:

    • Microsoft 365 Defender
    • Microsoft Defender para Ponto de Extremidade
    • Microsoft Defender for Identity and Azure Active Directory Identity Protection
    • Microsoft Defender for Cloud Apps
  • Atualizando incidentes no Microsoft 365 Defender de dentro do Splunk

  • Ingesting Defender for Endpoint alerts (from the Defender for Endpoint's Azure endpoint endpoint's endpoint endpoint' and updating these alerts

Para obter mais informações sobre o Microsoft 365 Defender complemento para Splunk, consulte splunkbase.

Micro Focus ArcSight

O novo SmartConnector para Microsoft 365 Defender ingere incidentes no ArcSight e os mapeia para sua Estrutura de Eventos Comuns (CEF).

Para obter mais informações sobre o novo ArcSight SmartConnector para Microsoft 365 Defender, consulte ArcSight Product Documentation.

O SmartConnector substitui o Anterior FlexConnector para o Microsoft Defender para o Ponto de Extremidade.

Ingerir dados de eventos de streaming por meio de Hubs de Eventos

Primeiro, você precisa transmitir eventos do seu locatário AAD seus Hubs de Eventos ou Azure Armazenamento Conta. Para obter mais informações, consulte Streaming API.

Para obter mais informações sobre os tipos de eventos suportados pela API de Streaming, consulte Tipos de eventos de streaming suportados.

Splunk

Use o complemento Splunk para o Microsoft Cloud Services para ingerir eventos dos Hubs de Eventos do Azure.

Para obter mais informações sobre o complemento do Splunk para o Microsoft Cloud Services, consulte splunkbase.

IBM QRadar

Use o novo IBM QRadar Microsoft 365 Defender Device Support Module (DSM) que chama Microsoft 365 Defender API de Streaming do Microsoft 365 Defender que permite a ingestão de dados de eventos de streaming Microsoft 365 Defender produtos. Para obter mais informações sobre tipos de eventos com suporte, consulte Tipos de eventos com suporte.