整合 SIEM 工具與適用於端點的 Microsoft Defender

適用於:

使用 SIEM) 工具 (安全性資訊和事件管理來內嵌警示

注意

適用於端點的 Microsoft Defender警示是由裝置上發生的一或多個可疑或惡意事件及其相關詳細資料所組成。 適用於端點的 Microsoft Defender警示 API 是警示取用的最新 API,並包含每個警示的相關辨識項詳細清單。 如需詳細資訊,請 參閱警示方法和屬性列出警示

適用於端點的 Microsoft Defender支援安全性資訊和事件管理 (SIEM) 工具,其使用 OAuth 2.0 驗證通訊協定來擷取 Azure Active Directory (AAD) 中企業租使用者的資訊,此通訊協定適用于已註冊的 AAD 應用程式,代表安裝在您環境中的特定 SIEM 解決方案或連接器。

如需詳細資訊,請參閱:

適用於端點的 Microsoft Defender目前支援下列 SIEM 解決方案整合:

從Microsoft 365 Defender擷取事件和警示,並適用於端點的 Microsoft Defender事件和警示 REST API

從Microsoft 365 Defender事件 REST API 擷取事件

如需Microsoft 365 Defender事件 API 的詳細資訊,請參閱事件方法和屬性

從適用於端點的 Microsoft Defender警示 REST API 擷取警示

如需適用於端點的 Microsoft Defender警示 API 的詳細資訊,請參閱警示方法和屬性

SIEM 工具與 適用於端點的 Microsoft Defender 整合

Splunk

使用適用於 Splunk 的 Microsoft 365 Defender 附加元件, 其支援:

  • 擷取適用於端點的 Microsoft Defender警示
  • 從 Splunk 內更新適用於端點的 Microsoft Defender中的警示

有關適用於 Splunk 的 Microsoft 365 Defender 附加元件詳細資訊, 請參閱 splunkbase

Datadog

端點與 Datadog 整合的Microsoft 365 Defender支援:

  • 擷取適用於端點的 Microsoft Defender警示和事件
  • 可跨端點、威脅和弱點以及軟體監視計量的儀表板

如需整合的詳細資訊,請參閱 Datadog Marketplace

Micro Focus ArcSight

新的 SmartConnector for Microsoft 365 Defender會將包含所有Microsoft 365 Defender產品警示的事件內嵌至 ArcSight,包括從適用於端點的 Microsoft Defender到 ArcSight,並將這些警示對應至其 Common Event Framework (CEF) 。

如需適用于 Microsoft 365 Defender 的新 ArcSight SmartConnector 的詳細資訊,請參閱ArcSight 產品檔

SmartConnector 會取代先前的 FlexConnector 來Microsoft 365 Defender。

IBM QRadar

注意

IBM QRadar 與 Microsoft 365 Defender 整合,其中包含適用於端點的 Microsoft Defender現在由呼叫 Microsoft 365 Defender 的新Microsoft 365 Defender裝置支援模組 (DSM ) 支援允許從Microsoft 365 Defender產品擷取串流事件資料的串流 API,包括適用於端點的 Microsoft Defender。 如需有關新 QRadar Microsoft 365 Defender DSM 的詳細資訊,請參閱IBM QRadar 產品檔,如需串流 API 支援事件種類的詳細資訊,請參閱支援的事件種類

新客戶不再使用先前的 QRadar Microsoft Defender ATP 裝置支援模組 (DSM) 上線,且建議現有客戶採用新的 Microsoft 365 Defender DSM 作為與所有Microsoft 365 Defender產品的整合點。

從Microsoft 365 Defender事件串流 API 擷取適用於端點的 Microsoft Defender事件

Microsoft 365 Defender串流事件資料包含來自適用於端點的 Microsoft Defender和其他 Microsoft Defender 產品的警示和其他事件。 這些事件可能會串流至 Azure 儲存體帳戶或Azure 事件中樞。 Splunk 和 IBM QRadar 目前支援透過事件中樞的整合模型。

如需詳細資訊,請參閱Microsoft 365 Defender SIEM 整合