Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Извлечение Microsoft Defender XDR инцидентов и потоковая передача данных о событиях с помощью средств управления информационной безопасностью и событиями безопасности (SIEM)
Примечание.
- Microsoft Defender XDR Инциденты состоят из коллекций коррелированных оповещений и их доказательств.
- API потоковой передачи Microsoft Defender XDR передает данные событий из Microsoft Defender XDR в центры событий или учетные записи хранения Azure.
Microsoft Defender XDR поддерживает средства управления информационной безопасностью и событиями безопасности (SIEM), которые прием информации из корпоративного клиента в Microsoft Entra ID с помощью протокола проверки подлинности OAuth 2.0 для зарегистрированного приложения Microsoft Entra, представляющего конкретное решение ИЛИ соединитель SIEM, установленный в вашем окружающая среда.
Дополнительные сведения см. в разделе:
- лицензия на API Microsoft Defender XDR и условия использования
- Доступ к API Microsoft Defender XDR
- Пример Hello World
- Получение доступа с помощью контекста приложения
Существует две основные модели приема сведений о безопасности:
Прием Microsoft Defender XDR инцидентов и содержащихся в ней оповещений из REST API в Azure.
Прием данных о событиях потоковой передачи через Центры событий Azure или учетные записи хранения Azure.
Microsoft Defender XDR в настоящее время поддерживает следующие интеграции решений SIEM:
- Прием инцидентов из REST API инцидентов
- Прием данных о событиях потоковой передачи через Центры событий
Прием инцидентов из REST API инцидентов
Схема инцидента
Дополнительные сведения о свойствах Microsoft Defender XDR инцидента, включая метаданные сущностей оповещений и доказательств, см. в разделе Сопоставление схем.
Splunk
Использование новой, полностью поддерживаемой надстройки Splunk для Microsoft Security, которая поддерживает:
Прием инцидентов, содержащих оповещения от следующих продуктов, сопоставленных с общей информационной моделью (CIM) Splunk:
- Microsoft Defender XDR
- Microsoft Defender для конечной точки
- Microsoft Defender для удостоверений и Защита Microsoft Entra ID
- Microsoft Defender for Cloud Apps
Прием оповещений Defender для конечной точки (из конечной точки Azure Defender для конечной точки) и обновление этих оповещений
Поддержка обновления Microsoft Defender XDR инцидентов и (или) оповещений Microsoft Defender для конечной точки и соответствующих панелей мониторинга перенесена в приложение Microsoft 365 для Splunk.
Дополнительные сведения приведены ниже.
Надстройка Splunk для Microsoft Security см. в статье Надстройка безопасности Майкрософт в Splunkbase
Приложение Microsoft 365 для Splunk см. в статье Приложение Microsoft 365 в Splunkbase
Micro Focus ArcSight
Новый SmartConnector для Microsoft Defender XDR прием инцидентов в ArcSight и сопоставляет их с общей платформой событий (CEF).
Дополнительные сведения о новом ArcSight SmartConnector для Microsoft Defender XDR см. в документации по продукту ArcSight.
SmartConnector заменяет предыдущий FlexConnector для Microsoft Defender для конечной точки, который теперь снят с учета.
Эластичный
Elastic Security объединяет функции обнаружения угроз SIEM с возможностями защиты конечных точек и реагирования в одном решении.
Интеграция Elastic для Microsoft Defender XDR и Defender для конечной точки позволяет организациям использовать инциденты и оповещения от Defender в Elastic Security для проведения расследований и реагирования на инциденты. Elastic сопоставляет эти данные с другими источниками данных, включая облачные, сетевые и конечные точки, используя надежные правила обнаружения для быстрого поиска угроз.
Дополнительные сведения о соединителе Elastic см. в статье Microsoft M365 Defender | Документация по эластичным базам данных
Прием данных о событиях потоковой передачи через Центры событий
Сначала необходимо выполнить потоковую передачу событий из клиента Microsoft Entra в Центры событий или учетную запись хранения Azure. Дополнительные сведения см. в разделе API потоковой передачи.
Дополнительные сведения о типах событий, поддерживаемых API потоковой передачи, см. в разделе Поддерживаемые типы событий потоковой передачи.
Splunk
Используйте надстройку Splunk для Microsoft Облачные службы для приема событий из Центры событий Azure.
Дополнительные сведения о надстройке Splunk для Microsoft Облачные службы см. в статье Надстройка Microsoft Облачные службы на Splunkbase.
IBM QRadar
Используйте новый модуль поддержки устройств IBM QRadar Microsoft Defender XDR (DSM), который вызывает API потоковой передачи Microsoft Defender XDR, который позволяет принимать данные о событиях потоковой передачи из Microsoft Defender XDR продуктов через Центры событий или учетную запись хранения Azure. Дополнительные сведения о поддерживаемых типах событий см. в разделе Поддерживаемые типы событий.
Эластичный
Дополнительные сведения об интеграции API эластичной потоковой передачи см. в статье Microsoft M365 Defender | Документация по эластичным эластикам.
Связанные материалы
Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.