Integrera dina SIEM-verktyg med Microsoft Defender XDR
Gäller för:
Obs!
Prova våra nya API:er med ms Graph-säkerhets-API. Läs mer på: Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn.
Hämta Microsoft Defender XDR incidenter och strömma händelsedata med hjälp av SIEM-verktyg (säkerhetsinformation och händelsehantering)
Obs!
- Microsoft Defender XDR Incidenter består av samlingar av korrelerade aviseringar och deras bevis.
- Microsoft Defender XDR STRÖMMANDE API strömmar händelsedata från Microsoft Defender XDR till händelsehubbar eller Azure Storage-konton.
Microsoft Defender XDR stöder SIEM-verktyg (säkerhetsinformation och händelsehantering) som matar in information från företagsklientorganisationen i Microsoft Entra ID med hjälp av OAuth 2.0-autentiseringsprotokollet för ett registrerat Microsoft Entra program som representerar den specifika SIEM-lösningen eller anslutningsappen som är installerad i din Miljö.
Mer information finns i:
- licens och användningsvillkor för Microsoft Defender XDR API:er
- Få åtkomst till Microsoft Defender XDR-API:er
- Hello World exempel
- Få åtkomst med programsammanhang
Det finns två primära modeller för att mata in säkerhetsinformation:
Mata in Microsoft Defender XDR incidenter och deras inneslutna aviseringar från ett REST-API i Azure.
Mata in strömmande händelsedata antingen via Azure Event Hubs eller Azure Storage-konton.
Microsoft Defender XDR stöder för närvarande följande SIEM-lösningsintegreringar:
Mata in incidenter från INCIDENTER REST API
Incidentschema
Mer information om Microsoft Defender XDR incidentegenskaper som innehåller metadata för aviserings- och bevisentiteter finns i Schemamappning.
Splunk
Med det nya, fullständigt stödda Splunk-tillägget för Microsoft Security som stöder:
Mata in incidenter som innehåller aviseringar från följande produkter, som mappas till Splunks Common Information Model (CIM):
- Microsoft Defender XDR
- Microsoft Defender för Endpoint
- Microsoft Defender for Identity och Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
Mata in Defender för Endpoint-aviseringar (från Azure-slutpunkten för Defender för Endpoint) och uppdatera dessa aviseringar
Stöd för att uppdatera Microsoft Defender XDR incidenter och/eller Microsoft Defender för Endpoint-aviseringar och respektive instrumentpaneler har flyttats till Microsoft 365-appen för Splunk.
Mer information om:
Splunk-tillägget för Microsoft Security finns i Microsoft Security-tillägget på Splunkbase
Microsoft 365-appen för Splunk finns i Microsoft 365-appen på Splunkbase
Mikrofokus ArcSight
Den nya SmartConnector för Microsoft Defender XDR matar in incidenter i ArcSight och mappar dem till dess Common Event Framework (CEF).
Mer information om den nya ArcSight SmartConnector för Microsoft Defender XDR finns i Produktdokumentation för ArcSight.
SmartConnector ersätter den tidigare FlexConnector för Microsoft Defender för Endpoint som har blivit inaktuell.
Elastisk
Elastic Security kombinerar SIEM-hotidentifieringsfunktioner med funktioner för slutpunktsskydd och svar i en lösning. Den elastiska integreringen för Microsoft Defender XDR och Defender för Endpoint gör det möjligt för organisationer att utnyttja incidenter och aviseringar från Defender i Elastic Security för att utföra undersökningar och incidenthantering. Elastic korrelerar dessa data med andra datakällor, inklusive moln-, nätverks- och slutpunktskällor som använder robusta identifieringsregler för att snabbt hitta hot. Mer information om den elastiska anslutningsappen finns i: Microsoft M365 Defender | Elastiska dokument
Mata in strömmande händelsedata via Event Hubs
Först måste du strömma händelser från din Microsoft Entra klientorganisation till eventhubbar eller Azure Storage-konto. Mer information finns i API för direktuppspelning.
Mer information om de händelsetyper som stöds av API:et för direktuppspelning finns i Typer av direktuppspelningshändelser som stöds.
Splunk
Använd Splunk-tillägget för Microsoft Cloud Services för att mata in händelser från Azure Event Hubs.
Mer information om Splunk-tillägget för Microsoft Cloud Services finns i Microsoft Cloud Services-tillägg på Splunkbase.
IBM QRadar
Använd den nya IBM QRadar Microsoft Defender XDR Device Support Module (DSM) som anropar Microsoft Defender XDR Streaming-API:et som gör det möjligt att mata in strömmande händelsedata från Microsoft Defender XDR produkter via Event Hubs eller Azure Storage-konto. Mer information om händelsetyper som stöds finns i Händelsetyper som stöds.
Elastisk
Mer information om elastic streaming API-integrering finns i Microsoft M365 Defender | Elastiska dokument.
Relaterade artiklar
Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för