Integrera dina SIEM-verktyg med Microsoft Defender för Endpoint
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft 365 Defender
På så sätt matas aviseringar in med säkerhetsinformations- och händelsehanteringsverktyg (SIEM)
Anteckning
Microsoft Defender för slutpunktsavisering består av en eller flera misstänkta eller skadliga händelser som inträffade på enheten och tillhörande information. Microsoft Defender för slutpunktsaviserings-API är det senaste API:t för aviseringsanvändning och innehåller en detaljerad lista med relaterade bevis för varje avisering. Mer information finns i Aviseringsmetoder och egenskaper och Listaviseringar.
Microsoft Defender för Endpoint stöder säkerhetsinformation och händelsehanteringsverktyg (SIEM) som används för att mata in information från företagsklientorganisationen i Azure Active Directory (AAD) med OAuth 2.0-autentiseringsprotokoll för ett registrerat AAD-program som representerar den specifika SIEM-lösning eller -koppling som installerats i miljön.
Mer information finns i:
- Licens och användningsvillkor för Microsoft Defender för slutpunkts-API:er
- Få åtkomst till Microsoft Defender för Endpoint API
- Hello World-exempel (beskriver hur du registrerar ett program i Azure Active Directory)
- Få åtkomst med programsammanhang
Microsoft Defender för Endpoint har för närvarande stöd för följande SIEM-lösningsintegrationer:
- Mata in incidenter och aviseringar från Microsoft 365 Defender och Microsoft Defender för slutpunktsincidenter och REST-API:er för aviseringar
- Mata in Microsoft Defender för slutpunktshändelser från Microsoft 365 Defender direktuppspelnings-API:t för händelser
Mata in incidenter och aviseringar från Microsoft 365 Defender och Microsoft Defender för slutpunktsincidenter och REST-API:er för aviseringar
Mata in incidenter från ett Microsoft 365 Defender REST API
Mer information om hur du Microsoft 365 Defender incident-API finns i incidentmetoder och egenskaper.
Mata in aviseringar från Microsoft Defender för slutpunktsaviseringar REST API
Mer information om API:t för slutpunktsaviseringar finns i varningar och egenskaper.
SIEM-verktygsintegrering med Microsoft Defender för Slutpunkt
Splunk
Använda Microsoft 365 Defender Add-on för Splunk som stöder:
- Mata in Microsoft Defender för slutpunktsaviseringar
- Uppdatera aviseringar i Microsoft Defender för Endpoint inifrån Splunk
Mer information om tillägget Microsoft 365 Defender för Splunk finns i splunkbase.
Micro Focus ArcSight
Med nya SmartConnector för Microsoft 365 Defender matas incidenter in som innehåller aviseringar från alla Microsoft 365 Defender-produkter – inklusive från Microsoft Defender för Slutpunkt – i ArcSight och mappar dessa på Sin Common Event Framework (CEF).
Mer information om den nya ArcSight SmartConnector för Microsoft 365 Defender finns i ArcSight-produktdokumentationen.
SmartConnector ersätter den tidigare FlexConnector för Microsoft 365 Defender.
IBM QRadar
Anteckning
IBM QRadar-integrering med Microsoft 365 Defender, som inkluderar Microsoft Defender för Endpoint, stöds nu av den nya DSM (Device Support Module) för Microsoft 365 Defender Microsoft 365 Defender Streaming API som tillåter att strömma händelsedata matas in från Microsoft 365 Defender produkter, bland annat Microsoft Defender för Endpoint. Mer information om nya QRadar Microsoft 365 Defender DSM finns i IBM QRadar-produktdokumentationoch mer information om händelsetyper som stöds för Streaming API finns i Händelsetyper som stöds.
Nya kunder introduceras inte längre med hjälp av den tidigare QRadar Microsoft Defender ATP Device Support Module (DSM), och befintliga kunder uppmanas att använda den nya Microsoft 365 Defender DSM som sin enda integration med alla Microsoft 365 Defender-produkter.
Mata in Microsoft Defender för slutpunktshändelser från Microsoft 365 Defender direktuppspelnings-API:t för händelser
Microsoft 365 Defender som strömma händelsedata inkluderar aviseringar och andra händelser från Microsoft Defender för Endpoint och andra Microsoft Defender-produkter. Dessa händelser kan strömmas till ett Azure Storage eller till Azure Event Hubs. Integrationsmodellen via evenemangsnav stöds för närvarande av Splunk och IBM QRadar.
Mer information finns i Microsoft 365 Defender SIEM-integrering.