Integrare gli strumenti SIEM con Microsoft Defender XDR
Si applica a:
Eseguire il pull degli eventi imprevisti XDR di Microsoft Defender e dei dati degli eventi di streaming usando gli strumenti di gestione delle informazioni di sicurezza e degli eventi (SIEM)
Nota
- Gli eventi imprevisti XDR di Microsoft Defender sono costituiti da raccolte di avvisi correlati e dalle relative prove.
- L'API di streaming XDR di Microsoft Defender trasmette i dati degli eventi da Microsoft Defender XDR a hub eventi o account di archiviazione di Azure.
Microsoft Defender XDR supporta gli strumenti di gestione delle informazioni di sicurezza e degli eventi (SIEM, Security Information and Event Management) che inserisce informazioni dal tenant aziendale in Microsoft Entra ID usando il protocollo di autenticazione OAuth 2.0 per un'applicazione Microsoft Entra registrata che rappresenta la soluzione o il connettore SIEM specifico installato nell'ambiente.
Per altre informazioni, vedere:
- Licenza e condizioni per l'utilizzo delle API XDR di Microsoft Defender
- Accedere alle API XDR di Microsoft Defender
- Esempio Hello World
- Ottenere l'accesso con il contesto delle applicazioni
Esistono due modelli principali per inserire le informazioni di sicurezza:
Inserimento di eventi imprevisti di Microsoft Defender XDR e dei relativi avvisi contenuti da un'API REST in Azure.
Inserimento dei dati degli eventi di streaming tramite Hub eventi di Azure o account di archiviazione di Azure.
Microsoft Defender XDR supporta attualmente le integrazioni di soluzioni SIEM seguenti:
- Inserimento di eventi imprevisti dall'API REST eventi imprevisti
- Inserimento dei dati degli eventi di streaming tramite Hub eventi
Inserimento di eventi imprevisti dall'API REST eventi imprevisti
Schema degli eventi imprevisti
Per altre informazioni sulle proprietà degli eventi imprevisti XDR di Microsoft Defender, inclusi i metadati delle entità di avviso ed evidenza contenute, vedere Mapping dello schema.
Splunk
Uso del nuovo componente aggiuntivo Splunk completamente supportato per Microsoft Security che supporta:
Inserimento di eventi imprevisti che contengono avvisi dei prodotti seguenti, mappati al modello CIM (Common Information Model) di Splunk:
- Microsoft Defender XDR
- Microsoft Defender per endpoint
- Microsoft Defender per identità e Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
Inserimento degli avvisi di Defender per endpoint (dall'endpoint di Azure di Defender per endpoint) e aggiornamento di questi avvisi
Il supporto per l'aggiornamento degli eventi imprevisti XDR di Microsoft Defender e/o degli avvisi di Microsoft Defender per endpoint e dei rispettivi dashboard è stato spostato nell'app Microsoft 365 per Splunk.
Per altre informazioni su:
Componente aggiuntivo Splunk per Microsoft Security, vedere il componente aggiuntivo microsoft per la sicurezza in Splunkbase
App Microsoft 365 per Splunk, vedere l'app Microsoft 365 in Splunkbase
Micro Focus ArcSight
Il nuovo SmartConnector per Microsoft Defender XDR inserisce gli eventi imprevisti in ArcSight e esegue il mapping di questi eventi a Common Event Framework (CEF).
Per altre informazioni sul nuovo ArcSight SmartConnector per Microsoft Defender XDR, vedere la documentazione del prodotto ArcSight.
SmartConnector sostituisce il precedente FlexConnector per Microsoft Defender per endpoint che è ora ritirato.
Elastico
La sicurezza elastica combina le funzionalità di rilevamento delle minacce SIEM con le funzionalità di prevenzione e risposta degli endpoint in un'unica soluzione. L'integrazione elastica per Microsoft Defender XDR e Defender per endpoint consente alle organizzazioni di sfruttare gli eventi imprevisti e gli avvisi di Defender all'interno di Elastic Security per eseguire indagini e risposte agli eventi imprevisti. Elastic correla questi dati con altre origini dati, incluse le origini cloud, di rete e di endpoint, usando regole di rilevamento affidabili per trovare rapidamente le minacce. Per altre informazioni sul connettore elastico, vedere: Microsoft M365 Defender | Documentazione elastica
Inserimento dei dati degli eventi di streaming tramite Hub eventi
Prima di tutto è necessario trasmettere gli eventi dal tenant di Microsoft Entra all'hub eventi o all'account di archiviazione di Azure. Per altre informazioni, vedere API di streaming.
Per altre informazioni sui tipi di evento supportati dall'API di streaming, vedere Tipi di evento di streaming supportati.
Splunk
Usare il componente aggiuntivo Splunk per Servizi cloud Microsoft per inserire eventi da Hub eventi di Azure.
Per altre informazioni sul componente aggiuntivo Splunk per Servizi cloud Microsoft, vedere il componente aggiuntivo Servizi cloud Microsoft in Splunkbase.
IBM QRadar
Usare il nuovo modulo di supporto del dispositivo IBM QRadar Microsoft Defender XDR (DSM) che chiama l'API di streaming XDR di Microsoft Defender che consente di inserire i dati degli eventi di streaming dai prodotti Microsoft Defender XDR tramite Hub eventi o account di archiviazione di Azure. Per altre informazioni sui tipi di evento supportati, vedere Tipi di evento supportati.
Elastico
Per altre informazioni sull'integrazione dell'API di streaming elastico, vedere Microsoft M365 Defender | Documentazione elastica.
Articoli correlati
Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph | Microsoft Learn
Consiglio
Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.