Интеграция инструментов SIEM с Microsoft Defender XDR
Область применения:
Примечание.
Попробуйте наши новые API с помощью API безопасности MS Graph. Дополнительные сведения см. в статье Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn.
Извлечение Microsoft Defender XDR инцидентов и потоковая передача данных о событиях с помощью средств управления информационной безопасностью и событиями безопасности (SIEM)
Примечание.
- Microsoft Defender XDR Инциденты состоят из коллекций коррелированных оповещений и их доказательств.
- API потоковой передачи Microsoft Defender XDR передает данные событий из Microsoft Defender XDR в центры событий или учетные записи хранения Azure.
Microsoft Defender XDR поддерживает средства управления информационной безопасностью и событиями безопасности (SIEM), которые прием информации из корпоративного клиента в Microsoft Entra ID с помощью протокола проверки подлинности OAuth 2.0 для зарегистрированного приложения Microsoft Entra, представляющего конкретное решение ИЛИ соединитель SIEM, установленный в вашем Среды.
Дополнительные сведения см. в разделе:
- лицензия на API Microsoft Defender XDR и условия использования
- Доступ к API Microsoft Defender XDR
- Пример Hello World
- Получение доступа с помощью контекста приложения
Существует две основные модели приема сведений о безопасности:
Прием Microsoft Defender XDR инцидентов и содержащихся в ней оповещений из REST API в Azure.
Прием данных о событиях потоковой передачи через Центры событий Azure или учетные записи хранения Azure.
Microsoft Defender XDR в настоящее время поддерживает следующие интеграции решений SIEM:
- Прием инцидентов из REST API инцидентов
- Прием данных о событиях потоковой передачи через Концентратор событий
Прием инцидентов из REST API инцидентов
Схема инцидента
Дополнительные сведения о свойствах Microsoft Defender XDR инцидента, включая метаданные сущностей оповещений и доказательств, см. в разделе Сопоставление схем.
Splunk
Использование новой, полностью поддерживаемой надстройки Splunk для Microsoft Security, которая поддерживает:
Прием инцидентов, содержащих оповещения от следующих продуктов, сопоставленных с общей информационной моделью (CIM) Splunk:
- Microsoft Defender XDR
- Microsoft Defender для конечной точки
- Microsoft Defender для удостоверений и Защита Microsoft Entra ID
- Microsoft Defender for Cloud Apps
Прием оповещений Defender для конечной точки (из конечной точки Azure Defender для конечной точки) и обновление этих оповещений
Поддержка обновления Microsoft Defender XDR инцидентов и (или) Microsoft Defender для конечной точки оповещений и соответствующих панелей мониторинга была перемещена в приложение Microsoft 365 для Splunk.
Дополнительные сведения приведены ниже.
Надстройка Splunk для Microsoft Security см. в статье Надстройка безопасности Майкрософт в Splunkbase
Приложение Microsoft 365 для Splunk см. в статье Приложение Microsoft 365 в Splunkbase
Micro Focus ArcSight
Новый SmartConnector для Microsoft Defender XDR прием инцидентов в ArcSight и сопоставляет их с общей платформой событий (CEF).
Дополнительные сведения о новом ArcSight SmartConnector для Microsoft Defender XDR см. в документации по продукту ArcSight.
SmartConnector заменяет предыдущий FlexConnector для Microsoft Defender для конечной точки, который был устарел.
Упругой
Elastic Security объединяет функции обнаружения угроз SIEM с возможностями защиты конечных точек и реагирования в одном решении. Интеграция Elastic для Microsoft Defender XDR и Defender для конечной точки позволяет организациям использовать инциденты и оповещения от Defender в Elastic Security для проведения расследований и реагирования на инциденты. Elastic сопоставляет эти данные с другими источниками данных, включая облачные, сетевые и конечные точки, используя надежные правила обнаружения для быстрого поиска угроз. Дополнительные сведения о соединителе Elastic см. в статье Microsoft M365 Defender | Документация по эластичным базам данных
Прием данных о событиях потоковой передачи через Центры событий
Сначала необходимо выполнить потоковую передачу событий из клиента Microsoft Entra в Центры событий или учетную запись хранения Azure. Дополнительные сведения см. в разделе API потоковой передачи.
Дополнительные сведения о типах событий, поддерживаемых API потоковой передачи, см. в разделе Поддерживаемые типы событий потоковой передачи.
Splunk
Используйте надстройку Splunk для Microsoft Облачные службы для приема событий из Центры событий Azure.
Дополнительные сведения о надстройке Splunk для Microsoft Облачные службы см. в статье Надстройка Microsoft Облачные службы на Splunkbase.
IBM QRadar
Используйте новый модуль поддержки устройств IBM QRadar Microsoft Defender XDR (DSM), который вызывает API потоковой передачи Microsoft Defender XDR, который позволяет принимать данные о событиях потоковой передачи из Microsoft Defender XDR продуктов через Центры событий или учетную запись хранения Azure. Дополнительные сведения о поддерживаемых типах событий см. в разделе Поддерживаемые типы событий.
Упругой
Дополнительные сведения об интеграции API эластичной потоковой передачи см. в статье Microsoft M365 Defender | Документация по эластичным эластикам.
Связанные статьи
Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по