將您的 SIEM 工具與 Microsoft Defender XDR 整合

適用於：

• 適用於端點的 Microsoft Defender
• Microsoft Defender XDR

注意事項

使用 MS Graph 安全性 API 試用新的 API。 深入瞭解： 使用 Microsoft Graph 安全性 API - Microsoft Graph |Microsoft Learn。

使用安全性資訊和事件管理 (SIEM) 工具來提取 Microsoft Defender 全面偵測回應 事件和串流事件數據

注意事項

• Microsoft Defender 全面偵測回應 事件是由相互關聯警示及其辨識項的集合所組成。
• Microsoft Defender 全面偵測回應 串流 API 會將事件數據從 Microsoft Defender 全面偵測回應 串流至事件中樞或 Azure 記憶體帳戶。

Microsoft Defender 全面偵測回應 支援安全性資訊和事件管理 (SIEM) 工具使用 OAuth 2.0 驗證通訊協定擷取已註冊 Microsoft Entra ID 企業租使用者的資訊 Microsoft Entra應用程式，代表安裝在您環境中的特定 SIEM 解決方案或連接器。

如需詳細資訊，請參閱：

• Microsoft Defender 全面偵測回應 API 授權和使用規定
• 存取 Microsoft Defender 全面偵測回應 API
• Hello World 範例
• 使用應用程式內容取得存取權

有兩種主要模型可內嵌安全性資訊:

1. 從 Azure 中的 REST API 擷取 Microsoft Defender 全面偵測回應 事件及其包含的警示。

2. 透過 Azure 事件中樞或 Azure 儲存體帳戶內嵌串流事件資料。

Microsoft Defender 全面偵測回應 目前支援下列 SIEM 解決方案整合：

• 從 REST API 中內嵌事件
• 透過事件中樞內嵌串流事件資料

從 REST API 中內嵌事件

事件結構描述

如需 Microsoft Defender 全面偵測回應 事件屬性的詳細資訊，包括包含的警示和辨識項實體元數據，請參閱架構對應。

Splunk

針對支援下列專案的 Microsoft 安全性使用全新、完全支援的 Splunk 附加元件：

• 正在內嵌包含下列產品警示的事件, 這些產品會對應至 Splunk 的通用訊息模型 (CIM):

  • Microsoft Defender XDR
  • 適用於端點的 Microsoft Defender
  • 適用於身分識別的 Microsoft Defender和 Microsoft Entra ID Protection
  • Microsoft 雲端 App 安全性

• 內嵌適用於端點的 Defender 警示 (來自適用於端點的 Defender 之 Azure 端點) 並更新這些警示

• 更新 Microsoft Defender 全面偵測回應 事件和/或 適用於端點的 Microsoft Defender 警示和個別儀錶板的支援已移至適用於Splunk的 Microsoft 365 應用程式。

如需下列詳細資訊：

• 適用於 Microsoft 安全性的 Splunk 附加元件，請參閱 Splunkbase 上的 Microsoft 安全性附加元件

• Microsoft 365 App for Splunk，請參閱 Splunkbase 上的 Microsoft 365 應用程式

Micro Focus ArcSight

適用於 Microsoft Defender 全面偵測回應 的新 SmartConnector 會將事件內嵌至 ArcSight，並將這些事件對應至其 Common Event Framework (CEF) 。

如需適用於 Microsoft Defender 全面偵測回應 的新 ArcSight SmartConnector 詳細資訊，請參閱 ArcSight 產品檔。

SmartConnector 會針對已被取代的 適用於端點的 Microsoft Defender 取代先前的 FlexConnector。

彈性

彈性安全性會將 SIEM 威脅偵測功能與端點防護和回應功能結合在一個解決方案中。 適用於 Microsoft Defender 全面偵測回應和適用於端點的Defender的彈性整合可讓組織利用 Elastic Security 內 Defender 的事件和警示來執行調查和事件回應。 使用強固的偵測規則快速尋找威脅，將此數據與其他數據源相互關聯，包括雲端、網路和端點來源。 如需彈性連接器的詳細資訊，請參閱： Microsoft M365 Defender |彈性檔

透過事件中樞內嵌串流事件資料

首先，您需要將事件從 Microsoft Entra 租使用者串流至事件中樞或 Azure 記憶體帳戶。 如需詳細資訊, 請參閱 串流 API。

有關串流 API 支援的事件類型詳細資訊, 請參閱 支援的串流事件類型。

Splunk

使用 Microsoft 雲端服務的 Splunk 附加元件, 從 Azure 事件中樞內嵌事件。

如需適用於 Microsoft 雲端服務 的 Splunk 附加元件的詳細資訊，請參閱 Splunkbase 上的 Microsoft 雲端服務 附加元件。

IBM QRadar

使用新的 IBM QRadar Microsoft Defender 全面偵測回應 裝置支援模組 (DSM) ，其會呼叫可允許透過事件中樞或 Azure 記憶體帳戶從 Microsoft Defender 全面偵測回應 產品擷取串流事件數據的 Microsoft Defender 全面偵測回應 串流 API。 有關支援的事件類型詳細資訊, 請參閱 支援的事件類型。

彈性

如需彈性串流 API 整合的詳細資訊，請參閱 Microsoft M365 Defender |彈性檔。

相關文章

使用 Microsoft Graph 安全性 API - Microsoft Graph |Microsoft Learn

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：Microsoft Defender 全面偵測回應 技術社群。