Microsoft Defender für Cloud

Der DSM " IBM QRadar für Microsoft Defender for Cloud sammelt JSON-Ereignisse von einem Microsoft Defender for Cloud. Ereignisse können mithilfe des Protokolls Security API von Microsoft Graph und des Protokolls Microsoft Azure Event Hubs erfasst werden.

Wichtig:

Der Name von Microsoft Azure Security Center DSM ist jetzt Microsoft Defender for Cloud DSM. Der DSM-RPM-Name bleibt Microsoft Azure Security Center in QRadar.

Führen Sie die folgenden Schritte aus, um Microsoft Defender for Cloud mit QRadarzu integrieren:
  1. Wenn automatische Updates nicht aktiviert sind, können RPMs von der IBM® Support-Website (http://www.ibm.com/support) heruntergeladen werden. Laden Sie die neueste Version der folgenden RPMs herunter und installieren Sie sie auf Ihrem QRadar Console:
    • Microsoft Defender für Cloud DSM RPM
    • Microsoft Graph Security API Protocol DSM (Wenn Sie eine Protokollquelle mithilfe des Microsoft Graph-Protokolls Security API hinzufügen möchten, laden Sie dieses RPM herunter.)
    • Microsoft Azure Event Hubs Protocol RPM (Wenn Sie eine Protokollquelle mithilfe des Microsoft Azure Event Hubs-Protokolls hinzufügen möchten, laden Sie dieses RPM herunter).
  2. Optional: Konfigurieren Sie Microsoft Defender for Cloud, um Ereignisse an QRadar zu senden, wenn Sie Microsoft Graph Security APIverwenden. Weitere Informationen finden Sie unter Sicherheitsalerts und Empfehlungen exportieren https://docs.microsoft.com/en-us/azure/security-center/continuous-export.
  3. Optional: Konfigurieren Sie Microsoft Defender for Cloud, um Ereignisse an QRadar zu senden, wenn Sie Microsoft Azure Event Hub verwenden. Weitere Informationen finden Sie unter Streamen von Alerts an QRadar (https://learn.microsoft.com/en-us/azure/defender-for-cloud/export-to-siem#stream-alerts-to-qradar-and-splunk).
  4. Fügen Sie eine Microsoft Defender for Cloud-Protokollquelle auf dem QRadar Consolehinzu.