Integre as suas ferramentas siEM com Microsoft 365 Defender

Aplica-se a:

Obter Microsoft 365 Defender e transmitir em fluxo dados de eventos utilizando ferramentas de gestão de eventos e informações de segurança (SIEM)

Nota

O Microsoft 365 Defender suporta ferramentas de gestão de eventos e informações de segurança (SIEM) que inserem informações do seu inquilino empresarial no Azure Active Directory (AAD) através do protocolo de autenticação OAuth 2.0 para uma aplicação do AAD registada que representa a solução ou conector do SIEM específico instalado no seu ambiente.

Para mais informações, consulte:

Existem dois modelos principais para obter informações de segurança:

  1. Ingesting Microsoft 365 Defender incidentes e os respetivos alertas contidos de uma API REST no Azure.

  2. Ingesting streaming event data either through Azure Event Hubs or Azure Armazenamento Accounts.

Microsoft 365 Defender atualmente suporta as seguintes integrações de soluções SIEM:

Ingesting incidents from the incidents REST API

Esquema de incidente

Para obter mais informações sobre Microsoft 365 Defender de incidentes, incluindo metadados de entidades de alertas e provas, consulte Mapeamento de esquemas.

Splunk

Utilizando o Microsoft 365 Defender de Suporte para Splunk que suporta:

  • Ingesting incidents that contains alerts from the following products, that are mapped onto Splunk's Common Information Model (CIM):

    • Microsoft 365 Defender
    • Microsoft Defender para Endpoint
    • Microsoft Defender para Identity and Azure Active Directory Identity Protection
    • Microsoft Defender para Aplicações na Nuvem
  • Atualizar incidentes no Microsoft 365 Defender a partir do Splunk

  • Ingesting Defender for Endpoint alerts (from the Defender for Endpoint's Azure endpoint) and updating these alerts

Para obter mais informações sobre o Microsoft 365 Defender para Splunk, consulte Splunkbase.

Micro Focus ArcSight

O novo SmartConnector para Microsoft 365 Defender insere incidentes na ArcSight e mapeia-os na sua Estrutura de Eventos Comuns (CEF).

Para obter mais informações sobre o novo SmartConnector ArcSight para Microsoft 365 Defender, consulte Documentação do Produto ArcSight.

O SmartConnector substitui o FlexConnector anterior do Microsoft Defender para Endpoint.

Ingesting streaming event data via Event Hubs

Primeiro, tem de transmitir eventos a partir do seu inquilino AAD para a sua Conta de Hubs de Eventos ou do Azure Armazenamento Evento. Para obter mais informações, consulte API de Transmissão em Fluxo.

Para obter mais informações sobre os tipos de eventos suportados pela API de Transmissão em Fluxo, consulte Tipos de evento de transmissão em fluxo suportados.

Splunk

Utilize o Add-on do Splunk para o Microsoft Cloud Services para os eventos mais importantes dos Hubs de Eventos do Azure.

Para obter mais informações sobre o Add-on do Splunk para os Serviços em Nuvem da Microsoft, consulte SplunkBase.

IBM QRadar

Utilize o novo Módulo de Suporte de Dispositivos (DSM) IBM QRadar Microsoft 365 Defender que chama a API de Transmissão em Fluxo da Microsoft 365 Defender que permite a transmissão em fluxo de dados de eventos a partir de Microsoft 365 Defender produtos. Para obter mais informações sobre os tipos de evento suportados, consulte Tipos de evento suportados.