Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Извлечение инцидентов Microsoft Defender и данных о событиях в потоковом режиме с помощью средств управления информацией и событиями безопасности (SIEM)
Примечание.
- Инциденты Microsoft Defender представляют собой наборы взаимосвязанных оповещений и связанных с ними свидетельств.
- API потоковой передачи Microsoft Defender передает потоковые данные о событиях из Microsoft Defender в центры событий или учетные записи хранилища Azure.
Microsoft Defender поддерживает средства управления информацией и событиями безопасности (SIEM), которые принимают данные из вашего корпоративного арендатора в Microsoft Entra ID с помощью протокола аутентификации OAuth 2.0 для зарегистрированного приложения Microsoft Entra, представляющего конкретное решение SIEM или коннектор, установленный в вашей среде.
Дополнительные сведения см. в разделе:
- Лицензия и условия использования API Microsoft Defender
- Доступ к API Microsoft Defender
- Пример Hello World
- Получение доступа с помощью контекста приложения
Существует две основные модели приема сведений о безопасности:
Прием инцидентов Microsoft Defender XDR и содержащихся в ней оповещений из REST API в Azure.
Прием потоковых данных о событиях либо через Центры событий Azure, либо через учетные записи хранения Azure.
Microsoft Defender в настоящее время поддерживает следующие интеграции решений SIEM:
- Получение инцидентов из REST API для инцидентов
- Прием данных о событиях потоковой передачи через Центры событий
Получение инцидентов из REST API для инцидентов
Следующие решения SIEM поддерживают получение инцидентов Microsoft Defender XDR и содержащихся в них оповещений через REST API инцидентов.
Схема инцидента
Дополнительные сведения о свойствах инцидентов Microsoft Defender, включая входящие в инцидент оповещения и метаданные сущностей-подтверждений, см. в разделе Сопоставление схем.
Загрузка инцидентов в Splunk
Использование новой, полностью поддерживаемой надстройки Splunk для Microsoft Security, которая поддерживает:
Прием инцидентов, содержащих оповещения от следующих продуктов, сопоставленных с общей информационной моделью (CIM) Splunk:
- Microsoft Defender
- Microsoft Defender для конечной точки
- Microsoft Defender для удостоверений и Защита Microsoft Entra ID
- Microsoft Defender для облачных приложений
Получение оповещений Defender для конечных точек (из конечной точки Azure для Defender для конечных точек) и обновление оповещений
Поддержка обновления инцидентов Microsoft Defender и/или оповещений Microsoft Defender для конечной точки, а также соответствующих панелей мониторинга перенесена в приложение Microsoft 365 для Splunk.
Дополнительные сведения о следующем:
Надстройка Splunk для Microsoft Security — см. надстройку Microsoft Security на Splunkbase
Приложение Microsoft 365 для Splunk см. в статье Приложение Microsoft 365 в Splunkbase
Загрузка инцидентов в Micro Focus ArcSight
Новый SmartConnector для Microsoft Defender XDR загружает инциденты в ArcSight и сопоставляет их с форматом Common Event Format (CEF).
Дополнительные сведения о новом ArcSight SmartConnector для Microsoft Defender XDR см. в документации по продукту ArcSight.
SmartConnector заменяет прежний FlexConnector для Microsoft Defender для конечной точки, который теперь выведен из эксплуатации.
Прием инцидентов в Elastic
Elastic Security объединяет функции обнаружения угроз SIEM с возможностями защиты конечных точек и реагирования в одном решении.
Интеграция Elastic для Microsoft Defender XDR и Defender для конечной точки позволяет организациям использовать инциденты и оповещения от Defender в Elastic Security для проведения расследований и реагирования на инциденты. Elastic сопоставляет эти данные с другими источниками данных, включая облачные, сетевые и конечные точки, используя надежные правила обнаружения для быстрого поиска угроз.
Дополнительные сведения о соединителе Elastic см. в статье Microsoft M365 Defender | Документация по эластичным базам данных
Прием данных о событиях потоковой передачи через Центры событий
Для интеграции данных событий потоковой передачи необходимо сначала передавать события из клиента Microsoft Entra в центры событий или учетную запись служба хранилища Azure. Дополнительные сведения см. в разделе API потоковой передачи Microsoft Defender XDR.
Дополнительные сведения о типах событий, поддерживаемых API потоковой передачи, см. в Microsoft Defender XDR поддерживаемых типах событий потоковой передачи.
Передавайте данные событий в Splunk в потоковом режиме
Используйте надстройку Splunk для облачных служб Microsoft для приема событий из Центры событий Azure.
Дополнительные сведения о надстройке Splunk для облачных служб Microsoft см. на странице Надстройка для облачных служб Microsoft на Splunkbase.
Передавайте данные событий в IBM QRadar
Используйте новый модуль поддержки устройств (DSM) IBM QRadar Microsoft Defender XDR, который использует Microsoft Defender Streaming API и позволяет принимать потоковые данные событий из продуктов Microsoft Defender через Event Hubs или учетную запись служба хранилища Azure. Дополнительные сведения о поддерживаемых типах событий см. в разделе Поддерживаемые типы событий.
Передавайте данные событий в Elastic в потоковом режиме
Дополнительные сведения об интеграции с Elastic Streaming API см. в Microsoft M365 Defender | документации Elastic.
Связанные материалы
Использование API безопасности Microsoft Graph — Microsoft Graph | Microsoft Learn
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.