Comparaison Microsoft Azure Sentinel et API de sécurité Microsoft Graph intégrations avec SIR
Vous pouvez afficher les différences entre Microsoft Azure Sentinel les API de sécurité Microsoft Graph intégrations et choisir celle qui convient à votre Now Platform instance.
Vue d'ensemble de Microsoft Azure Sentinel - Ingestion des incidents
Microsoft Azure Sentinel est une solution SIEM (Security Information Event Management) et SOAR (Security Orchestration Automated Response) basée sur le cloud. Microsoft Azure Sentinel fournit des analyses de sécurité intelligentes et des renseignements sur les menaces dans l’ensemble de l’entreprise. Il offre une solution unique pour la détection des alertes, la visibilité des menaces, la recherche proactive et la réponse aux menaces.
Vue d'ensemble de API de sécurité Microsoft Graph
Il API de sécurité Microsoft Graph s’agit d’un service intermédiaire (ou broker) qui fournit une interface programmatique unique pour connecter plusieurs fournisseurs de sécurité (natif de Microsoft ainsi que ServiceNow des partenaires).
L’intégration API de sécurité Microsoft Graph résout ces problèmes en utilisant le pour se connecter à différentes technologies de sécurité Microsoft telles qu’Azure API de sécurité Microsoft Graph Sentinel, Microsoft Defender Advanced Threat Protection et Azure Advanced Threat Protection. Les alertes des fournisseurs de sécurité Microsoft sont ingérées et les incidents de sécurité sont automatiquement créés dans Réponse aux incidents de sécurité.
Résumé des différences de fonctionnalités
| Microsoft Azure Sentinel | API de sécurité Microsoft Graph |
|---|---|
| Ingère les incidents ainsi que les informations sur l’entité Microsoft Azure Sentinel (lorsqu’elles sont disponibles) et automatise la création des incidents de sécurité dans SIR. | Ingère les alertes de plusieurs fournisseurs de sécurité (y compris Azure Sentinel) dans un schéma standard et automatise la création d’incidents de sécurité dans SIR. |
| Automatise les mises à jour de l’état des Microsoft Azure Sentinel incidents pour Security Incident Response afin que vous puissiez créer et fermer les incidents de sécurité. Remarque : ServiceNow Met à jour l’état des incidents en fonction de la création ou de Microsoft Azure Sentinel la fermeture de l’incident de sécurité. |
Prend en charge les mises à jour d’alerte (modification de l’état de l’alerte et fermeture de l’alerte) pour les fournisseurs de sécurité sélectionnés. Remarque : Pour plus d’informations sur les API de sécurité Microsoft Graph fournisseurs de sécurité pris en charge, consultez la documentation Microsoft. |
Utilisez cette intégration si votre scénario inclut les conditions suivantes :
|
Utilisez cette intégration si votre scénario inclut les conditions suivantes :
|
| L’alerte est une entité dans Microsoft Azure Sentinel. Vous ne pouvez pas récupérer d’alertes autonomes ou spécifiques à l’aide de l’API Microsoft Azure Sentinel de gestion. Vous pouvez récupérer uniquement les données d’alerte associées à un incident. Les données d’alerte disponibles à l’aide de cette intégration sont plus riches que les données d’alerte disponibles à l’aide de .API de sécurité Microsoft Graph | Les données d’alerte Microsoft Azure Sentinel normalisées sont disponibles. Les Microsoft Azure Sentinel champs d’alerte qui sont mappés en interne dans API de sécurité Microsoft Graphet qui sont disponibles dans API de sécurité Microsoft Graph, peuvent être utilisés dans cette intégration. |
| Vous ne pouvez pas mettre à jour les alertes à Microsoft Azure Sentinel l’aide de cette intégration. |