Program Microsoft 365 Defender

Moduł DSM programu IBM® QRadar® Microsoft™ 365 Defender gromadzi zdarzenia z usługi Microsoft 365 Defender, używając protokołu koncentratorów zdarzeń Microsoft Azure do gromadzenia danych interfejsu API przetwarzania strumieniowego. Za pomocą protokołu Defender for Endpoint SIEM REST API można gromadzić alerty i zdarzenia urządzeń z usługi Microsoft 365 Defender.

Produkt Microsoft 365 Defender DSM gromadzi również alerty z programu Microsoft Defender for Endpoint Service Alerts V2 API, używając protokołu Microsoft Graph API.

Ważne:
  • Nazwa ATP modułu DSM programu Microsoft Windows™ Defender jest teraz Microsoft 365 Defender DSM. Nazwa modułu DSM RPM pozostaje w systemie Microsoft Windows Defender ATP w systemie QRadar.
  • Z powodu zmiany w pakiecie Microsoft Defender API, która nastąpiła 25 listopada 2021 roku, Microsoft nie zezwala już na wdrażanie nowych integracji z ich interfejsem API SIEM. Więcej informacji na ten temat zawiera sekcja Dezaktualizacja wcześniejszego interfejsu API SIEM (https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/deprecating-the-legacy-siem-api/ba-p/3139643).

    Interfejs API przetwarzania strumieniowego może być używany z protokołem koncentratorów zdarzeń Microsoft Azure w celu przekazywania zdarzeń i alertów do QRadar. Więcej informacji na temat usługi i jej konfiguracji zawiera sekcja Konfigurowanie programu Microsoft 365 Defender do przesyłania zdarzeń wyszukiwania zaawansowanego do Azure Event Hub (https://docs.micosoft.com/en-us/microsoft-365/security/defender/streaming-api-event-hub?view=o365-worldwide)

Zintegruj usługę Microsoft 365 Defender, jeśli używany jest protokół koncentratorów zdarzeń Microsoft Azure

Aby zintegrować usługę Microsoft 365 Defender z produktem QRadar, wykonaj następujące kroki:
  1. Jeśli automatyczne aktualizacje nie są włączone, pobierz najnowsze wersje pakietów RPM z serwisu WWW wsparcia IBM (http://www.ibm.com/support).
    • Protocol Common RPM
    • Pakiet RPM protokołu koncentratorów zdarzeń Microsoft Azure
    • Wspólny moduł RPM DSM
    • Microsoft 365 RPM modułu DSM programu Defender
  2. Skonfiguruj program Microsoft 365 Defender, aby wysyłać zaawansowane zdarzenia polowania do koncentratora zdarzeń Microsoft Azure . Więcej informacji na ten temat zawiera sekcja Konfigurowanie programu Microsoft Defender do przesyłania zdarzeń zaawansowanego wyszukiwania do środowiska Azure Event Hub (https://docs.microsoft.com/en-us/microsoft-365/security/defender/streaming-api-event-hub?view=o365-worldwide).
  3. Jeśli produkt QRadar nie wykrywa automatycznie źródła dziennika, dodaj źródło dziennika programu Microsoft 365 Defender, które korzysta z protokołu Microsoft Azure Event Hub na serwerze QRadar Console. Więcej informacji na temat protokołu zawiera sekcja Microsoft Azure parametrów źródłowych dziennika koncentratorów zdarzeń dla Microsoft 365 Defender.

Zintegruj usługę Microsoft 365 Defender, jeśli używany jest protokół interfejsu REST API Microsoft Defender for Endpoint SIEM

Aby zintegrować usługę Microsoft 365 Defender z produktem QRadar, wykonaj następujące kroki:
  1. Jeśli automatyczne aktualizacje nie są włączone, pobierz najnowsze wersje pakietów RPM z serwisu WWW wsparcia IBM (http://www.ibm.com/support).
    • Protocol Common RPM
    • Program Microsoft Defender for Endpoint SIEM REST API Protocol RPM
    • Obr ./min DSMCommon
    • Microsoft 365 RPM modułu DSM programu Defender
  2. Dodaj źródło dziennika programu Microsoft 365 Defender, które używa programu Microsoft Defender dla protokołu interfejsu API REST SIEM punktu końcowego na serwerze QRadar Console. Produkt QRadar nie wykrywa automatycznie programu Microsoft Defender dla interfejsu REST API SIEM punktu końcowego. Więcej informacji na ten temat zawiera sekcja Microsoft Defender for Endpoint SIEM REST API source parameters for Microsoft 365 Defender.

Zintegruj usługę Microsoft Defender for Endpoint, jeśli używany jest protokół Microsoft Graph Security API

Aby zintegrować program Microsoft Defender dla usługi punktu końcowego z programem QRadar, wykonaj następujące kroki:
  1. Jeśli automatyczne aktualizacje nie są włączone, pobierz najnowsze wersje pakietów RPM z serwisu WWW wsparcia IBM (http://www.ibm.com/support).
    • Protocol Common RPM
    • Pakiet RPM protokołu Microsoft Graph Security API
    • Obr ./min DSMCommon
    • Microsoft 365 RPM modułu DSM programu Defender
  2. Dodaj źródło dziennika programu Microsoft 365 Defender, które używa protokołu Microsoft Graph Security API w QRadar Console. Program QRadar nie wykrywa automatycznie Security APIprogramu Microsoft Graph. Więcej informacji na ten temat zawiera sekcja Parametry źródła dziennika interfejsu API zabezpieczeń Security API dla programu Microsoft 365 Defender.