Поделиться через


Интеграция инструментов SIEM с Microsoft Defender XDR

Область применения:

Извлечение инцидентов XDR в Microsoft Defender и потоковая передача данных о событиях с помощью средств управления информационной безопасностью и событиями (SIEM)

Примечание.

Microsoft Defender XDR поддерживает средства управления информационной безопасностью и событиями безопасности (SIEM), которые прием информации из корпоративного клиента в идентификаторе Microsoft Entra с помощью протокола проверки подлинности OAuth 2.0 для зарегистрированного приложения Microsoft Entra, представляющего конкретное решение SIEM или соединитель, установленный в вашей среде.

Дополнительные сведения см. в разделе:

Существует две основные модели приема сведений о безопасности:

  1. Прием инцидентов XDR в Microsoft Defender и содержащихся в ней оповещений из REST API в Azure.

  2. Прием данных о событиях потоковой передачи через Центры событий Azure или учетные записи хранения Azure.

Microsoft Defender XDR в настоящее время поддерживает следующие интеграции решений SIEM:

Прием инцидентов из REST API инцидентов

Схема инцидента

Дополнительные сведения о свойствах инцидентов XDR в Microsoft Defender, включая метаданные сущностей оповещений и доказательств, см. в разделе Сопоставление схем.

Splunk

Использование новой, полностью поддерживаемой надстройки Splunk для Microsoft Security, которая поддерживает:

  • Прием инцидентов, содержащих оповещения от следующих продуктов, сопоставленных с общей информационной моделью (CIM) Splunk:

    • Microsoft Defender XDR
    • Microsoft Defender для конечной точки
    • Microsoft Defender для удостоверений и Защита идентификаторов Microsoft Entra
    • Microsoft Defender for Cloud Apps
  • Прием оповещений Defender для конечной точки (из конечной точки Azure Defender для конечной точки) и обновление этих оповещений

  • Поддержка обновления инцидентов XDR в Microsoft Defender и (или) оповещений Microsoft Defender для конечной точки и соответствующих панелей мониторинга перенесена в приложение Microsoft 365 для Splunk.

Дополнительные сведения приведены ниже.

Micro Focus ArcSight

Новый SmartConnector для Microsoft Defender XDR прием инцидентов в ArcSight и сопоставляет их с общей платформой событий (CEF).

Дополнительные сведения о новом arcSight SmartConnector для XDR в Microsoft Defender см. в документации по продукту ArcSight.

SmartConnector заменяет предыдущий FlexConnector для Microsoft Defender для конечной точки, который теперь устарел.

Эластичный

Elastic Security объединяет функции обнаружения угроз SIEM с возможностями защиты конечных точек и реагирования в одном решении. Интеграция Elastic для Microsoft Defender XDR и Defender для конечной точки позволяет организациям использовать инциденты и оповещения от Defender в Elastic Security для проведения расследований и реагирования на инциденты. Elastic сопоставляет эти данные с другими источниками данных, включая облачные, сетевые и конечные точки, используя надежные правила обнаружения для быстрого поиска угроз. Дополнительные сведения о соединителе Elastic см. в статье Microsoft M365 Defender | Документация по эластичным базам данных

Прием данных о событиях потоковой передачи через Центры событий

Сначала необходимо выполнить потоковую передачу событий из клиента Microsoft Entra в Центры событий или учетную запись хранения Azure. Дополнительные сведения см. в разделе API потоковой передачи.

Дополнительные сведения о типах событий, поддерживаемых API потоковой передачи, см. в разделе Поддерживаемые типы событий потоковой передачи.

Splunk

Используйте надстройку Splunk для облачных служб Майкрософт для приема событий из Центров событий Azure.

Дополнительные сведения о надстройке Splunk для облачных служб Майкрософт см. в статье Надстройка Microsoft Cloud Services в Splunkbase.

IBM QRadar

Используйте новый модуль поддержки устройств (DSM) IBM QRadar Microsoft Defender XDR, который вызывает API потоковой передачи XDR в Microsoft Defender , который позволяет принимать данные о событиях потоковой передачи из продуктов XDR в Microsoft Defender через Центры событий или учетную запись хранения Azure. Дополнительные сведения о поддерживаемых типах событий см. в разделе Поддерживаемые типы событий.

Эластичный

Дополнительные сведения об интеграции API эластичной потоковой передачи см. в статье Microsoft M365 Defender | Документация по эластичным эластикам.

Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender XDR Tech Community.