Microsoft 365 Defender

IBM QRadar Microsoft 365 Defender ® DSM collecte des événements à partir d'un service Microsoft 365 Defender en utilisant le protocole Microsoft Azure Event Hubs pour collecter des données d'API Streaming. Vous pouvez utiliser le protocole de l'API REST Defender for Endpoint SIEM pour collecter des alertes et des événements de périphérique à partir d'un service Defender Microsoft 365 .

L'API Microsoft 365 Defender DSM collecte également des alertes à partir de l'API Microsoft Defender for Endpoint Service Alerts V2 à l'aide du protocole d'API Microsoft Graph.

Important :
  • Le nom Microsoft Windows Defender ATP DSM est désormais le nom Microsoft 365 Defender DSM. Le nom RPM DSM reste Microsoft Windows Defender ATP dans QRadar.
  • En raison d'un changement dans la suite d'API Microsoft Defender à partir du 25 novembre 2021, Microsoft n'autorise plus l'intégration de nouvelles intégrations à son API SIEM. Pour plus d'informations, voir Dépréciation de l'API SIEM existante (https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/deprecating-the-legacy-siem-api/ba-p/3139643).

    L'API Streaming peut être utilisée avec le protocole Microsoft Azure Event Hubs pour fournir un transfert d'événements et d'alertes à QRadar. Pour plus d'informations sur le service et sa configuration, voir Configure Microsoft 365 Defender to stream Advanced Hunting events to your Azure Event Hub (https://docs.micosoft.com/en-us/microsoft-365/security/defender/streaming-api-event-hub?view=o365-worldwide)

Intégrez un service Microsoft 365 Defender lorsque vous utilisez le protocole Microsoft Azure Event Hubs

Si vous souhaitez intégrer le service Microsoft 365 Defender à QRadar, procédez comme suit:
  1. Si les mises à jour automatiques ne sont pas activées, téléchargez les versions les plus récentes des RPM à partir du IBM® (http://www.ibm.com/support).
    • Protocol Common RPM
    • RPM du protocole Microsoft Azure Event Hubs
    • DSM Common RPM
    • Microsoft 365 RPM DSM Defender
  2. Facultatif : Créez un compte de stockage. Pour plus d'informations, voir Création d'un compte de stockage.
    Important: Vous devez disposer d'un compte de stockage pour vous connecter à un concentrateur d'événements. Pour plus d'informations, voir Microsoft Azure Event Hubs protocol FAQ.
  3. Facultatif : Créez un concentrateur d'événements. Pour plus d'informations, voir Quickstart: Création d'un concentrateur d'événements à l'aide du portail Azure.
  4. Configurez Microsoft 365 Defender pour envoyer des événements de chasse avancés à un concentrateur d'événements Microsoft Azure . Pour plus d'informations, voir Configuration de Microsoft Defender pour transmettre des événements Advanced Hunting à votre concentrateur d'événements Azure.
  5. Si QRadar® ne détecte pas automatiquement la source du journal, ajoutez une Microsoft 365 source de journal Defender qui utilise le protocole Microsoft Azure Event Hubs sur le QRadar Console. Pour plus d'informations sur le protocole, voir Paramètres de source de journal des concentrateurs d'événementsMicrosoft Azure pour Microsoft 365 Defender.

Intégrez un service Microsoft 365 Defender lorsque vous utilisez le protocole d'API REST Microsoft Defender for Endpoint SIEM

Si vous souhaitez intégrer un service Microsoft 365 Defender à QRadar, procédez comme suit:
  1. Si les mises à jour automatiques ne sont pas activées, téléchargez les versions les plus récentes des RPM à partir du site Web de supportIBM.
    • Protocol Common RPM
    • Microsoft Defender for Endpoint SIEM-RPM du protocole d'API REST
    • RPM DSMCommon
    • Microsoft 365 RPM DSM Defender
  2. Ajoutez une source de journal Microsoft 365 Defender qui utilise le protocole d'API REST Microsoft Defender for Endpoint SIEM sur le QRadar Console. QRadar ne détecte pas automatiquement l'API REST Microsoft Defender for Endpoint SIEM. Pour plus d'informations, voir Paramètres de source de journal de l'API REST de Microsoft Defender for Endpoint SIEM pour Microsoft 365 Defender.

Intégrez un service Microsoft Defender for Endpoint lorsque vous utilisez le protocole Microsoft Graph Security API

Si vous souhaitez intégrer un service Microsoft Defender for Endpoint à QRadar, procédez comme suit:
  1. Si les mises à jour automatiques ne sont pas activées, téléchargez les versions les plus récentes des RPM à partir du site Web de supportIBM.
    • Protocol Common RPM
    • RPM du protocole Microsoft Graph Security API
    • RPM DSMCommon
    • Microsoft 365 RPM DSM Defender
  2. Ajoutez une source de journal Microsoft 365 Defender qui utilise le protocole Microsoft Graph Security API sur le QRadar Console. QRadar ne détecte pas automatiquement l' Security APIMicrosoft Graph. Pour plus d'informations, voir les paramètres de la source de journal Microsoft Graph Security API pour Microsoft 365 Defender.