Microsoft Defender XDR と SIEM ツールと統合する
適用対象:
セキュリティ情報とイベント管理 (SIEM) ツールを使用して Microsoft Defender XDR インシデントとストリーミング イベント データをプルする
注:
- Microsoft Defender XDR インシデントは、 相関アラートとその証拠のコレクションで構成されます。
- Microsoft Defender XDR ストリーミング API は、Microsoft Defender XDR からイベント ハブまたは Azure ストレージ アカウントにイベント データをストリーミングします。
Microsoft Defender XDR では、お使いの環境にインストールされている特定の SIEM ソリューションまたはコネクタを表す登録された Microsoft Entra アプリケーションの OAuth 2.0 認証プロトコルを使用して、Microsoft Entra ID のエンタープライズ テナントから情報を取り込むセキュリティ情報とイベント管理 (SIEM) ツールがサポートされています。
詳細については、以下を参照してください:
- Microsoft Defender XDR API のライセンスと使用条件
- Microsoft Defender XDR API にアクセスする
- Hello World の例
- アプリケーション コンテキストでアクセスする
セキュリティ情報を取り込むには、次の 2 つの主要なモデルがあります。
Azure の REST API からの Microsoft Defender XDR インシデントとその含まれるアラートの取り込み。
Azure Event Hubs または Azure Storage アカウントを介したストリーミング イベント データの取り込み。
Microsoft Defender XDR では現在、次の SIEM ソリューション統合がサポートされています。
インシデント REST API からのインシデントの取り込み
インシデント スキーマ
含まれているアラートエンティティや証拠エンティティメタデータなど、Microsoft Defender XDR インシデント プロパティの詳細については、「 スキーマ マッピング」を参照してください。
Splunk
以下をサポートする、完全にサポートされている新しい Splunk アドオン for Microsoft Security を使用します。
Splunk の Common Information Model (CIM) にマップされる、次の製品からのアラートを含むインシデントを取り込みます。
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity と Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
Defender for Endpoint アラート (Defender for Endpoint の Azure エンドポイントから) を取り込み、これらのアラートを更新する
Microsoft Defender XDR インシデントや Microsoft Defender for Endpoint Alerts の更新のサポートと、それぞれのダッシュボードが、Microsoft 365 App for Splunk に移行しました。
関連情報:
Microsoft Security 用 Splunk アドオンについては、Splunkbase の Microsoft セキュリティ アドオンに関するページを参照してください。
Splunk 用 Microsoft 365 アプリについては、Splunkbase の Microsoft 365 アプリを参照してください
Micro Focus ArcSight
Microsoft Defender XDR 用の新しい SmartConnector は、インシデントを ArcSight に取り込み、これらを Common Event Framework (CEF) にマップします。
Microsoft Defender XDR 用の新しい ArcSight SmartConnector の詳細については、「 ArcSight 製品ドキュメント」を参照してください。
SmartConnector は、現在廃止された Microsoft Defender for Endpoint 用の以前の FlexConnector に置き換えられます。
エラスティック
Elastic Security は、SIEM の脅威検出機能とエンドポイントの防止と対応機能を 1 つのソリューションに組み合わせたものです。 Microsoft Defender XDR と Defender for Endpoint の Elastic 統合により、組織は Elastic Security 内の Defender からのインシデントとアラートを利用して、調査とインシデント対応を実行できます。 エラスティックは、堅牢な検出ルールを使用して脅威をすばやく検出するクラウド、ネットワーク、エンドポイント ソースなど、他のデータ ソースとこのデータを関連付ける。 Elastic コネクタの詳細については、「 Microsoft M365 Defender |Elastic docs
Event Hubs を介したストリーミング イベント データの取り込み
まず、Microsoft Entra テナントから Event Hubs または Azure Storage アカウントにイベントをストリーミングする必要があります。 詳細については、「 ストリーミング API」を参照してください。
Streaming API でサポートされるイベントの種類の詳細については、「 サポートされているストリーミング イベントの種類」を参照してください。
Splunk
Microsoft Cloud Services 用 Splunk アドオンを使用して、Azure Event Hubs からイベントを取り込みます。
Microsoft Cloud Services 用 Splunk アドオンの詳細については、 Splunkbase の Microsoft Cloud Services アドオンに関するページを参照してください。
IBM QRadar
Microsoft Defender XDR ストリーミング API を呼び出す新しい IBM QRadar Microsoft Defender XDR デバイス サポート モジュール (DSM) を使用します。これにより、Event Hubs または Azure Storage アカウントを介して Microsoft Defender XDR 製品からストリーミング イベント データを取り込むことができるようになります。 サポートされているイベントの種類の詳細については、「 サポートされているイベントの種類」を参照してください。
エラスティック
Elastic Streaming API の統合の詳細については、「 Microsoft M365 Defender |エラスティック ドキュメント。
関連記事
Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示