Integrera dina SIEM-verktyg med Microsoft 365 Defender
Gäller för:
Hämta Microsoft 365 Defender och strömma händelsedata med hjälp av säkerhetsinformations- och händelsehanteringsverktyg (SIEM)
Anteckning
- Microsoft 365 Defender Incidenter består av samlingar av korrelerade aviseringar och deras bevis.
- Microsoft 365 Defender direktuppspelade API-strömmar händelsedata från Microsoft 365 Defender till händelsenav eller Azure-lagringskonton.
Microsoft 365 Defender stöder säkerhetsinformation och händelsehanteringsverktyg (SIEM) som används för att mata in information från företagsklientorganisationen i Azure Active Directory (AAD) med OAuth 2.0-autentiseringsprotokoll för ett registrerat AAD-program som representerar den specifika SIEM-lösning eller -koppling som installerats i din miljö.
Mer information finns i:
- Microsoft 365 Defender API:er licens och användningsvillkor
- Komma åt Microsoft 365 Defender API:er
- Hello World exempel
- Få åtkomst med programsammanhang
Det finns två huvudmodeller för att mata in säkerhetsinformation:
Så här matar Microsoft 365 Defender incidenter och deras aviseringar från ett REST API i Azure.
Mata in direktuppspelning av händelsedata antingen via Azure Event Hub eller Azure Storage Konton.
Microsoft 365 Defender har för närvarande stöd för följande SIEM-lösningsintegrationer:
- Mata in incidenter från REST API för incidenter
- Mata in direktuppspelning av händelsedata via Händelsehubben
Mata in incidenter från REST API för incidenter
Incidentschema
Mer information om hur du Microsoft 365 Defender egenskaper för incidenter, inklusive avisering och bevisenheters metadata, finns i Schemamappning.
Splunk
Använda Microsoft 365 Defender Add-on för Splunk som stöder:
Mata in incidenter som innehåller aviseringar från följande produkter, som är mappade på Splunks CIM (Common Information Model):
- Microsoft 365 Defender
- Microsoft Defender för Endpoint
- Microsoft Defender för identitet Azure Active Directory identitetsskydd
- Microsoft Defender for Cloud Apps
Uppdatera incidenter i Microsoft 365 Defender inifrån Splunk
Mata in Defender för slutpunktsaviseringar (från Defender för Endpoints Azure-slutpunkt) och uppdatera dessa aviseringar
Mer information om tillägget Microsoft 365 Defender för Splunk finns i splunkbase.
Micro Focus ArcSight
Nya SmartConnector för Microsoft 365 Defender inträffar i ArcSight och mapparna till Common Event Framework (CEF).
Mer information om den nya ArcSight SmartConnector för Microsoft 365 Defender finns i Produktdokumentation för ArcSight.
SmartConnector ersätter den tidigare FlexConnector för Microsoft Defender för Endpoint.
Mata in direktuppspelning av händelsedata via Händelsehubben
Först måste du strömma händelser från din AAD till dina händelsehubben eller ditt Azure Storage konto. Mer information finns i Streaming API.
Mer information om de händelsetyper som stöds av Streaming API finns i Streaming eventtyper som stöds.
Splunk
Använd Splunk-tillägget för Microsoft Cloud Services för att mata in händelser från Azure Event Hubs.
Mer information om Splunk-tillägget för Microsoft Cloud Services finns i splunkbase.
IBM QRadar
Använd den nya IBM QRadar Microsoft 365 Defender Device Support Module (DSM) som anropar Microsoft 365 Defender Streaming API som tillåter att strömma händelsedata från Microsoft 365 Defender-produkter. Mer information om händelsetyper som stöds finns i Händelsetyper som stöds.