Integrera dina SIEM-verktyg med Microsoft 365 Defender

Gäller för:

Hämta Microsoft 365 Defender och strömma händelsedata med hjälp av säkerhetsinformations- och händelsehanteringsverktyg (SIEM)

Anteckning

Microsoft 365 Defender stöder säkerhetsinformation och händelsehanteringsverktyg (SIEM) som används för att mata in information från företagsklientorganisationen i Azure Active Directory (AAD) med OAuth 2.0-autentiseringsprotokoll för ett registrerat AAD-program som representerar den specifika SIEM-lösning eller -koppling som installerats i din miljö.

Mer information finns i:

Det finns två huvudmodeller för att mata in säkerhetsinformation:

  1. Så här matar Microsoft 365 Defender incidenter och deras aviseringar från ett REST API i Azure.

  2. Mata in direktuppspelning av händelsedata antingen via Azure Event Hub eller Azure Storage Konton.

Microsoft 365 Defender har för närvarande stöd för följande SIEM-lösningsintegrationer:

Mata in incidenter från REST API för incidenter

Incidentschema

Mer information om hur du Microsoft 365 Defender egenskaper för incidenter, inklusive avisering och bevisenheters metadata, finns i Schemamappning.

Splunk

Använda Microsoft 365 Defender Add-on för Splunk som stöder:

  • Mata in incidenter som innehåller aviseringar från följande produkter, som är mappade på Splunks CIM (Common Information Model):

    • Microsoft 365 Defender
    • Microsoft Defender för Endpoint
    • Microsoft Defender för identitet Azure Active Directory identitetsskydd
    • Microsoft Defender for Cloud Apps
  • Uppdatera incidenter i Microsoft 365 Defender inifrån Splunk

  • Mata in Defender för slutpunktsaviseringar (från Defender för Endpoints Azure-slutpunkt) och uppdatera dessa aviseringar

Mer information om tillägget Microsoft 365 Defender för Splunk finns i splunkbase.

Micro Focus ArcSight

Nya SmartConnector för Microsoft 365 Defender inträffar i ArcSight och mapparna till Common Event Framework (CEF).

Mer information om den nya ArcSight SmartConnector för Microsoft 365 Defender finns i Produktdokumentation för ArcSight.

SmartConnector ersätter den tidigare FlexConnector för Microsoft Defender för Endpoint.

Mata in direktuppspelning av händelsedata via Händelsehubben

Först måste du strömma händelser från din AAD till dina händelsehubben eller ditt Azure Storage konto. Mer information finns i Streaming API.

Mer information om de händelsetyper som stöds av Streaming API finns i Streaming eventtyper som stöds.

Splunk

Använd Splunk-tillägget för Microsoft Cloud Services för att mata in händelser från Azure Event Hubs.

Mer information om Splunk-tillägget för Microsoft Cloud Services finns i splunkbase.

IBM QRadar

Använd den nya IBM QRadar Microsoft 365 Defender Device Support Module (DSM) som anropar Microsoft 365 Defender Streaming API som tillåter att strömma händelsedata från Microsoft 365 Defender-produkter. Mer information om händelsetyper som stöds finns i Händelsetyper som stöds.