Microsoft 365 Difensore

Il DSM Microsoft 365 Defender 'IBM QRadar raccoglie eventi da un servizio Microsoft 365 Defender utilizzando il protocollo Microsoft Azure Event Hubs per raccogliere dati Streaming API. Puoi utilizzare il protocollo Defender for Endpoint SIEM REST API per raccogliere gli avvisi e gli eventi del dispositivo dal servizio Microsoft 365 Defender.

Microsoft 365 Defender DSM raccoglie anche gli avvisi dall'API Microsoft Defender for Endpoint Service Alerts V2 utilizzando il protocollo Microsoft Graph API.

Importante:
  • Il nome DSM di Microsoft Windows Defender è ora il Microsoft 365 Defender DSM. Il nome RPM DSM rimane come Microsoft Windows Defender ATP in QRadar.
  • A causa di una modifica della suite Microsoft Defender API a partire dal 25 novembre 2021, Microsoft non consente più l'onimbarco di nuove integrazioni con la loro API SIEM. Per ulteriori informazioni, consulta Deprecating the legacy SIEM API (https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/deprecating-the-legacy-siem-api/ba-p/3139643).

    L'API di streaming può essere utilizzata con il protocollo Event Hubs Microsoft Azure per fornire l'inoltro di eventi e avvisi a QRadar. Per ulteriori informazioni sul servizio e sulla sua configurazione, vedere Configurare Microsoft 365 Defender per trasmettere eventi Advanced Hunting al proprio Azure Event Hub ( https://docs.micosoft.com/en-us/microsoft-365/security/defender/streaming-api-event-hub?view=o365-worldwide )

Integrare un servizio Microsoft 365 Defender quando si utilizza il protocollo Microsoft Azure Event Hubs

Se vuoi integrare il servizio Microsoft 365 Defender con QRadar, completa la seguente procedura:
  1. Se gli aggiornamenti automatici non sono abilitati, scaricare le versioni più recenti degli RPM dal sito IBM® sito web di supporto (http://www.ibm.com/support).
    • RPM comune di protocollo
    • Microsoft Azure Protocollo Event Hubs RPM
    • RPM comune DSM
    • Microsoft 365 Difensore DSM RPM
  2. Facoltativo: crea un account di archiviazione. Per ulteriori informazioni, vedi Crea un account di archiviazione.
    Importante: è necessario disporre di un account di archiviazione per connettersi a un hub eventi. Per ulteriori informazioni, consultare Microsoft Azure Event Hubs protocol FAQ.
  3. Facoltativo: creare un hub eventi. Per ulteriori informazioni, consultare Quickstart: creare un hub eventi utilizzando il portale Azure.
  4. Configurare Microsoft 365 Defender per inviare eventi di caccia avanzati a un Hub di eventi Microsoft Azure . Per ulteriori informazioni, vedere Configurare Microsoft Defender per trasmettere gli eventi di Advanced Hunting all' Azure Event Hub.
  5. Se QRadar® non rileva automaticamente l'origine del registro, aggiungere una sorgente di registro Microsoft 365 Defender che utilizza il protocollo Microsoft Azure Event Hubs sul QRadar Console. Per ulteriori informazioni sul protocollo, consultare Microsoft Azure Event Hubs log source parameters for Microsoft 365 Defender.

Integrare un servizio Microsoft 365 Defender quando si utilizza il protocollo Microsoft Defender for Endpoint SIEM REST API

Se vuoi integrare un servizio Microsoft 365 Defender con QRadar, completa la seguente procedura:
  1. Se gli aggiornamenti automatici non sono abilitati, scaricare le versioni più recenti degli RPM dal sito Web di supporto IBM.
    • RPM comune di protocollo
    • Microsoft Defender per Endpoint SIEM REST API Protocol RPM
    • DSMCommon RPM
    • Microsoft 365 Difensore DSM RPM
  2. Aggiungere un'origine log Microsoft 365 Defender che utilizza il protocollo Microsoft Defender for Endpoint SIEM REST API su QRadar Console. QRadar non rileva automaticamente l'API REST di Microsoft Defender for Endpoint. Per ulteriori informazioni, consultare Microsoft Defender for Endpoint SIEM REST API log source parameters for Microsoft 365 Defender.

Integrazione di un servizio Microsoft Defender for Endpoint quando si utilizza il protocollo Microsoft Graph Security API

Se si desidera integrare un servizio Microsoft Defender for Endpoint con QRadar, completare la seguente procedura:
  1. Se gli aggiornamenti automatici non sono abilitati, scaricare le versioni più recenti degli RPM dal sito Web di supporto IBM.
    • RPM comune di protocollo
    • RPM protocollo Microsoft Graph Security API
    • DSMCommon RPM
    • Microsoft 365 Difensore DSM RPM
  2. Aggiungere un'origine log Microsoft 365 Defender che utilizza il protocollo Security API Microsoft Graph su QRadar Console. QRadar non rileva automaticamente l' Security APIMicrosoft Graph. Per ulteriori informazioni, consultare Microsoft Graph Security API log source parameters for Microsoft 365 Defender.