Vergleich der Integrationen Microsoft Azure Sentinel und Microsoft Graph-Sicherheits-API mit SIR
Sie können die Unterschiede zwischen den Integrationen Microsoft Azure Sentinel und Microsoft Graph-Sicherheits-API anzeigen und die richtige Integration mit Ihrer Instanz von Now Platform ] auswählen.
Microsoft Azure Sentinel – Incident Ingestion – Übersicht
Microsoft Azure Sentinel ist eine cloudbasierte Lösung für Security Information Event Management (SIEM) und Security Orchestration Automated Response (SOAR). Microsoft Azure Sentinel bietet intelligente Sicherheitsanalysen und Threat Intelligence für das gesamte Unternehmen. Sie bietet eine einzige Lösung für Warnungserkennung, Bedrohungstransparenz, proaktive Suche und Reaktion auf Bedrohungen.
Microsoft Graph-Sicherheits-API – Übersicht
Microsoft Graph-Sicherheits-API ist ein intermediärer Service (oder Broker), der eine einzige programmgesteuerte Schnittstelle für die Verbindung mehrerer Sicherheitsanbieter (native zu Microsoft sowie ServiceNow Partner) bereitstellt.
Die Microsoft Graph-Sicherheits-API -Integration behebt diese Probleme, indem sie Microsoft Graph-Sicherheits-API verwendet, um eine Verbindung mit verschiedenen Microsoft-Sicherheitstechnologien wie Azure Sentinel, Microsoft Defender Advanced Threat Protection und Azure Advanced Threat Protection herzustellen. In Security Incident Responsewerden Warnungen von Microsoft-Sicherheitsanbietern erfasst, und Security Incidents werden automatisch erstellt.
Zusammenfassung der Funktionsunterschiede
| Microsoft Azure Sentinel | Microsoft Graph-Sicherheits-API |
|---|---|
| Erfasst Microsoft Azure Sentinel Incidents zusammen mit Entitätsinformationen (falls verfügbar) und automatisiert die Erstellung von Security Incidents in SIR. | Erfasst Warnungen von mehreren Sicherheitsanbietern (einschließlich Azure Sentinel) in einem Standardschema und automatisiert die Erstellung von Security Incidents in SIR. |
| Automatisiert Microsoft Azure Sentinel Incident-Statusaktualisierungen für Security Incident Response, sodass Sie Security Incidents erstellen und schließen können. Hinweis: ServiceNow aktualisiert den Status von Microsoft Azure Sentinel Incidents basierend auf der Erstellung oder dem Abschluss des Security Incidents. |
Unterstützt Warnungsaktualisierungen (Änderung des Warnungsstatus und Warnungsabschluss) für ausgewählte Sicherheitsanbieter. Hinweis: Weitere Informationen zu den von Microsoft Graph-Sicherheits-API unterstützten Sicherheitsanbietern finden Sie in der Microsoft-Dokumentation. |
Verwenden Sie diese Integration, wenn Ihr Szenario die folgenden Bedingungen enthält:
|
Verwenden Sie diese Integration, wenn Ihr Szenario die folgenden Bedingungen enthält:
|
| Warnung ist eine Entität in Microsoft Azure Sentinel. Mit der Management-API Microsoft Azure Sentinel können Sie keine eigenständigen oder spezifischen Warnungen abrufen. Sie können nur die Warnungsdaten abrufen, die einem Incident zugeordnet sind. Die mit dieser Integration verfügbaren Warnungsdaten sind umfangreicher als die mit Microsoft Graph-Sicherheits-APIverfügbaren Warnungsdaten. | Die normalisierten Warnungsdaten für Microsoft Azure Sentinel sind verfügbar. Die Warnungsfelder Microsoft Azure Sentinel, die intern in Microsoft Graph-Sicherheits-APIzugeordnet sind und in Microsoft Graph-Sicherheits-APIverfügbar sind, können in dieser Integration verwendet werden. |
| Sie können mit dieser Integration keine Warnungen in Microsoft Azure Sentinel aktualisieren. |