Microsoft 365 Defender

O DSM Microsoft 365 Defender ' IBM QRadar coleta eventos de um serviço Microsoft 365 Defender usando o protocolo Microsoft Azure Event Hubs para coletar dados da API de streaming. É possível usar o protocolo da API de REST do Defender for Endpoint SIEM para coletar alertas e eventos de dispositivo de um serviço do Defender do Microsoft 365 .

O Microsoft 365 Defender DSM também coleta alertas do Microsoft Defender for Endpoint Service Alertas V2 API usando o protocolo Microsoft Graph API.

Importante:
  • O nome do Microsoft Windows Defender ATP DSM é agora o Microsoft 365 Defender DSM. O nome do RPM do DSM permanece como Microsoft Windows Defender ATP em QRadar
  • Devido a uma mudança na suíte API do Microsoft Defender a partir de 25 de novembro de 2021, a Microsoft não permite mais o onboarding de novas integrações com sua API SIEM. Para obter mais informações, consulte Deprecando a API do SIEM legado (https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/deprecating-the-legacy-siem-api/ba-p/3139643).

    A API de Fluxo pode ser usada com o protocolo de Hubs de Eventos do Microsoft Azure para fornecer encaminhamento de evento e de alerta para o QRadar Para obter mais informações sobre o serviço e sua configuração, consulte Configurar o Microsoft 365 Defender para transmitir eventos do Advanced Hunting para o seu Azure Event Hub ( https://docs.micosoft.com/en-us/microsoft-365/security/defender/streaming-api-event-hub?view=o365-worldwide )

Integrar um serviço de Defender Microsoft 365 quando você usa o protocolo Microsoft Azure Event Hubs

Se você desejar integrar o serviço do Microsoft 365 Defender com o QRadar, conclua as etapas a seguir:
  1. Se as atualizações automáticas não estiverem ativadas, faça o download das versões mais recentes dos RPMs no site de suporte da IBM® (http://www.ibm.com/support).
    • Protocol Common RPM
    • Microsoft Azure Protocolo de Centros de Eventos RPM
    • RPM do DSM Common
    • Microsoft 365 Defensor DSM RPM
  2. Opcional: criar uma conta de armazenamento. Para obter mais informações, consulte Criar uma conta de armazenamento
    Importante: deve-se ter uma conta de armazenamento para conectar a um hub de eventos. Para obter mais informações, consulte Microsoft Azure Perguntas mais frequentes sobre o protocolo de Hubs de Eventos
  3. Opcional: criar um hub de eventos. Para obter mais informações, consulte Iniciação rápida: criar um hub de eventos usando o Azure portal.
  4. Configurar o Microsoft 365 Defender para enviar eventos avançados de caça para um Hub de Eventos Microsoft Azure . Para obter mais informações, consulte Configurar o Microsoft Defender para transmitir eventos do Advanced Hunting para o seu Azure Event Hub.
  5. Se o QRadar® não detectar automaticamente a fonte de registro, adicione uma fonte de registro do Microsoft 365 Defender que use o protocolo de hubs de eventos do Microsoft Azure no QRadar Console. Para obter mais informações sobre o protocolo, consulte os parâmetros de origem de log do Microsoft Azure Event Hubs para o Microsoft 365 Defender.

Integre um serviço do Microsoft 365 Defender quando você usa o protocolo de API REST do Microsoft Defender for Endpoint

Se desejar integrar um serviço do Microsoft 365 Defender com o QRadar, conclua as etapas a seguir:
  1. Se as atualizações automáticas não estiverem ativadas, faça download das versões mais recentes dos RPMs a partir do website de suporte IBM.
    • Protocol Common RPM
    • Microsoft Defender para Endpoint SIEM REST API Protocol RPM
    • RPM DSMCommon
    • Microsoft 365 Defensor DSM RPM
  2. Inclua uma origem de log do Microsoft 365 Defender que use o protocolo da API de REST do Microsoft Defender for Endpoint SIEM no QRadar Console O QRadar não detecta automaticamente a API de REST do Microsoft Defender for Endpoint SIEM. Para obter mais informações, consulte Parâmetros de origem de log da API de REST do Microsoft Defender for Endpoint SIEM para o Microsoft 365 Defender..

Integre um Microsoft Defender para serviço de Endpoint quando você usa o protocolo Microsoft Graph Security API

Se desejar integrar um serviço do Microsoft Defender for Endpoint com o QRadar, conclua as etapas a seguir:
  1. Se as atualizações automáticas não estiverem ativadas, faça download das versões mais recentes dos RPMs a partir do website de suporte IBM.
    • Protocol Common RPM
    • Microsoft Graph Security API Protocolo RPM
    • RPM DSMCommon
    • Microsoft 365 Defensor DSM RPM
  2. Inclua uma origem de log do Microsoft 365 Defender que use o protocolo Security API do Microsoft Graph no QRadar Console O QRadar não detecta automaticamente o Microsoft Graph Security API. Para obter mais informações, consulte os parâmetros de origem de log do Microsoft Graph Security API para o Microsoft 365 Defender.