Vergleich der Integrationen Microsoft Azure Sentinel und Microsoft Graph-Sicherheits-API mit SIR
Sie können die Unterschiede zwischen Microsoft Azure Sentinel - und Microsoft Graph-Sicherheits-API -Integrationen anzeigen und die richtige Integration mit Ihrer Now Platform -Instanz auswählen.
Microsoft Azure Sentinel – Incident Ingestion – Übersicht
Microsoft Azure Sentinel ist eine cloudbasierte SIEM- (Security Information Event Management) und SOAR-Lösung (Security Orchestration Automated Response). Microsoft Azure Sentinel bietet intelligente Sicherheitsanalysen und Bedrohungsdaten im gesamten Unternehmen. Es bietet eine einzige Lösung für Warnungserkennung, Bedrohungstransparenz, proaktive Suche und Reaktion auf Bedrohungen.
Microsoft Graph-Sicherheits-API – Übersicht
Microsoft Graph-Sicherheits-API ist ein intermediärer Service (oder Broker), der eine einzelne programmgesteuerte Schnittstelle für die Verbindung mehrerer Sicherheitsanbieter (nativ von Microsoft sowie ServiceNow Partner) bereitstellt.
Die Microsoft Graph-Sicherheits-API -Integration behebt diese Probleme, indem Microsoft Graph-Sicherheits-API verwendet wird, um eine Verbindung mit verschiedenen Microsoft-Sicherheitstechnologien wie Azure Sentinel, Microsoft Defender Advanced Threat Protection und Azure Advanced Threat Protection herzustellen. Warnungen von Microsoft-Sicherheitsanbietern werden erfasst, und Security Incidents werden automatisch in Security Incident Responseerstellt.
Zusammenfassung der Funktionsunterschiede
| Microsoft Azure Sentinel | Microsoft Graph-Sicherheits-API |
|---|---|
| Erfasst Microsoft Azure Sentinel Incidents zusammen mit Entitätsinformationen (sofern verfügbar) und automatisiert die Erstellung von Security Incidents in SIR. | Erfasst Warnungen von mehreren Sicherheitsanbietern (einschließlich Azure Sentinel) in einem Standardschema und automatisiert die Erstellung von Security Incidents in SIR. |
| Automatisiert Microsoft Azure Sentinel Incident-Statusaktualisierungen für Security Incident Response, sodass Sie Security Incidents erstellen und schließen können. Hinweis: ServiceNow aktualisiert den Status von Microsoft Azure Sentinel Incidents basierend auf der Erstellung oder dem Abschluss eines Security Incident. |
Unterstützt Warnungsaktualisierungen (Änderung des Warnungsstatus und Schließung von Warnungen) für ausgewählte Sicherheitsanbieter. Hinweis: Weitere Informationen zu den von Microsoft Graph-Sicherheits-API unterstützten Sicherheitsanbietern finden Sie in der Microsoft-Dokumentation. |
Verwenden Sie diese Integration, wenn Ihr Szenario die folgenden Bedingungen enthält:
|
Verwenden Sie diese Integration, wenn Ihr Szenario die folgenden Bedingungen enthält:
|
| Warnung ist eine Entität in Microsoft Azure Sentinel. Sie können keine eigenständigen oder spezifischen Warnungen mit der Microsoft Azure Sentinel Management API abrufen. Sie können nur die Warnungsdaten abrufen, die einem Incident zugeordnet sind. Die mit dieser Integration verfügbaren Warnungsdaten sind umfangreicher als die mit Microsoft Graph-Sicherheits-APIverfügbaren Warnungsdaten. | Die normalisierten Warnungsdaten Microsoft Azure Sentinel sind verfügbar. Die Warnungsfelder Microsoft Azure Sentinel, die intern in Microsoft Graph-Sicherheits-APIzugeordnet sind und in Microsoft Graph-Sicherheits-APIverfügbar sind, können in dieser Integration verwendet werden. |
| Sie können mit dieser Integration keine Warnungen in Microsoft Azure Sentinel aktualisieren. |