Microsoft Defender para la nube

El DSM ' IBM QRadar ' para Microsoft Defender for Cloud recopila eventos JSON de un Microsoft Defender for Cloud. Los sucesos se pueden recopilar utilizando el protocolo Security API de Microsoft Graph y el protocolo Microsoft Azure Event Hubs.

Importante:

El nombre DSM de Microsoft Azure Security Center ahora es Microsoft Defender for Cloud DSM. El nombre RPM de DSM permanece como Microsoft Azure Security Center en QRadar.

Para integrar Microsoft Defender for Cloud con QRadar, realice los pasos siguientes:
  1. Si las actualizaciones automáticas no están activadas, los RPM están disponibles para su descarga desde el IBM® (http://www.ibm.com/support). Descargue e instale la versión más reciente de los siguientes RPM en QRadar Console:
    • Microsoft Defender para Cloud DSM RPM
    • Microsoft Graph Security API Protocol DSM (Si desea añadir un origen de registro utilizando el protocolo Security API de Microsoft Graph, descargue este RPM.)
    • Microsoft Azure Event Hubs Protocol RPM (Si desea añadir un origen de registro utilizando el protocolo Microsoft Azure Event Hubs, descargue este RPM.)
  2. Opcional: Configure Microsoft Defender for Cloud para enviar sucesos a QRadar cuando utilice la Security APIde Microsoft Graph. Para obtener más información, consulte Exportar alertas y recomendaciones de seguridad https://docs.microsoft.com/en-us/azure/security-center/continuous-export).
  3. Opcional: Configure Microsoft Defender for Cloud para enviar sucesos a QRadar cuando utilice Microsoft Azure Event Hub. Para obtener más información, consulte Alertas de secuencia en QRadar (https://learn.microsoft.com/en-us/azure/defender-for-cloud/export-to-siem#stream-alerts-to-qradar-and-splunk)
  4. Añada un origen de registro de Microsoft Defender for Cloud en QRadar Console.