Microsoft 365 Defender

El DSM Defender ' IBM QRadar ' ' Microsoft 365 ' recoge eventos de un servicio Defender ' Microsoft 365 ' utilizando el protocolo Event Hubs ' Microsoft Azure ' para recoger datos de Streaming API. Puede utilizar el protocolo de la API REST de Defender for Endpoint SIEM para recopilar alertas y sucesos de dispositivo de un servicio Defender de Microsoft 365 .

El DSM de Microsoft 365 Defender también recopila alertas de la API de Microsoft Defender for Endpoint Service Alerts V2 utilizando el protocolo de la API de Microsoft Graph.

Importante:
  • El nombre de DSM de Microsoft Windows Defender ATP es ahora el DSM de Microsoft 365 Defender. El nombre de RPM de DSM permanece como Microsoft Windows Defender ATP en QRadar.
  • Debido a un cambio en la suite de API de Microsoft Defender a partir del 25 de noviembre de 2021, Microsoft ya no permite la incorporación de nuevas integraciones con su API SIEM. Para obtener más información, consulte Deprecating the legacy SIEM API (https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/deprecating-the-legacy-siem-api/ba-p/3139643).

    La API de Streaming se puede utilizar con el protocolo Microsoft Azure Event Hubs para proporcionar reenvío de sucesos y alertas a QRadar. Para obtener más información sobre el servicio y su configuración, consulte Configurar Microsoft 365 Defender para transmitir eventos de Advanced Hunting a su Azure Event Hub ( https://docs.micosoft.com/en-us/microsoft-365/security/defender/streaming-api-event-hub?view=o365-worldwide )

Integre un servicio Microsoft 365 Defender cuando utilice el protocolo Microsoft Azure Event Hubs

Si desea integrar el servicio Microsoft 365 Defender con QRadar, realice los pasos siguientes:
  1. Si las actualizaciones automáticas no están activadas, descargue las versiones más recientes de los RPM del IBM® (http://www.ibm.com/support).
    • Protocol Common RPM
    • RPM del protocolo de concentradores de sucesos de Microsoft Azure
    • RPM común de DSM
    • Microsoft 365 Defensor DSM RPM
  2. Opcional: Cree una cuenta de almacenamiento. Para obtener más información, consulte Crear una cuenta de almacenamiento.
    Importante: Debe tener una cuenta de almacenamiento para conectarse a un concentrador de sucesos. Para obtener más información, consulte Preguntas frecuentes del protocoloMicrosoft Azure Event Hubs.
  3. Opcional: Cree un concentrador de sucesos. Para obtener más información, consulte Inicio rápido: Crear un concentrador de sucesos utilizando el portal Azure.
  4. Configure Microsoft 365 Defender para enviar sucesos de caza avanzados a un concentrador de sucesos de Microsoft Azure . Para obtener más información, consulte Configurar Microsoft Defender para transmitir eventos de Advanced Hunting a su Azure Event Hub.
  5. Si QRadar® no detecta automáticamente el origen de registro, añada un origen de registro Microsoft 365 Defender que utilice el protocolo Microsoft Azure Event Hubs en el QRadar Console. Para obtener más información sobre el protocolo, consulte Parámetros de origen de registro deMicrosoft Azure Event Hubs para Microsoft 365 Defender.

Integre un servicio Microsoft 365 Defender cuando utilice el protocolo de la API REST de Microsoft Defender for Endpoint SIEM

Si desea integrar un servicio Microsoft 365 Defender con QRadar, realice los pasos siguientes:
  1. Si las actualizaciones automáticas no están habilitadas, descargue las versiones más recientes de los RPM desde el sitio web de soporte deIBM.
    • Protocol Common RPM
    • Microsoft Defender para Endpoint SIEM API REST Protocolo RPM
    • RPM DSMCommon
    • Microsoft 365 Defensor DSM RPM
  2. Añada un origen de registro Microsoft 365 Defender que utilice el protocolo de la API REST de Microsoft Defender for Endpoint SIEM en QRadar Console. QRadar no detecta automáticamente la API REST de Microsoft Defender for Endpoint SIEM. Para obtener más información, consulte Parámetros de origen de registro de la API REST de Microsoft Defender for Endpoint SIEM para Microsoft 365 Defender.

Integre un servicio de Microsoft Defender for Endpoint cuando utilice el protocolo Security API de Microsoft Graph

Si desea integrar un servicio Microsoft Defender for Endpoint con QRadar, realice los pasos siguientes:
  1. Si las actualizaciones automáticas no están habilitadas, descargue las versiones más recientes de los RPM desde el sitio web de soporte deIBM.
    • Protocol Common RPM
    • RPM de protocolo de Security API de Microsoft Graph
    • RPM DSMCommon
    • Microsoft 365 Defensor DSM RPM
  2. Añada un origen de registro de Microsoft 365 Defender que utilice el protocolo Security API de Microsoft Graph en QRadar Console. QRadar no detecta automáticamente la Security APIde Microsoft Graph. Para obtener más información, consulte los parámetros de origen de registro de Microsoft Graph Security API para Microsoft 365 Defender.