Opciones de configuración del protocolo de la API REST de Microsoft Defender for Endpoint SIEM
El protocolo de la API REST de Microsoft Defender for Endpoint SIEM es un protocolo de salida/activo.
La API de Streaming se puede utilizar con el protocolo Microsoft Azure Event Hubs para proporcionar reenvío de sucesos y alertas a QRadar. Para obtener más información sobre el servicio y su configuración, consulte Configurar Microsoft 365 Defender para transmitir sucesos de Advanced Hunting a Azure Event Hub (https://docs.micosoft.com/en-us/microsoft-365/security/defender/streaming-api-event-hub?view=o365-worldwide)
| Parámetro | Valor |
|---|---|
| Log Source type | Microsoft 365 Defender |
| Protocol Configuration | API REST de Microsoft Defender for Endpoint SIEM |
| Log Source Identifier | Escriba un nombre exclusivo para el origen de registro. El Identificador de origen de registro puede ser cualquier valor válido y no es necesario que haga referencia a un servidor específico. También puede ser el mismo valor que el Nombre de origen de registro. Si tiene más de un origen de registro de la API REST de Microsoft Defender for Endpoint SIEM configurado, asegúrese de que asigna a cada uno un nombre exclusivo. |
| Authorization Server URL | La URL del servidor que proporciona la autorización para obtener un token de acceso. El token de acceso se utiliza como autorización para recopilar eventos de Microsoft 365 Defender. La URL del servidor de autorización utiliza el siguiente formato:
|
| Resource | El recurso que se utiliza para acceder a los sucesos de la API SIEM de Microsoft 365 Defender. |
| Client ID | Garantiza que el usuario está autorizado a obtener una señal de acceso. |
| Client Secret | El valor Secreto de cliente sólo se visualiza una vez y, a continuación, ya no está visible. Si no tiene acceso al valor Secreto de cliente , póngase en contacto con el administrador de Microsoft Azure para solicitar un nuevo secreto de cliente. |
| Region | Seleccione las regiones asociadas con la API SIEM de Microsoft 365 Defender de las que desea recopilar registros. |
| Other Region | Escriba los nombres de las regiones adicionales asociadas con la API SIEM de Microsoft 365 Defender de la que desea recopilar registros. Utilice una lista separada por comas; por ejemplo, region1,region2. |
| Use GCC Endpoints | Habilite o inhabilite el uso de puntos finales GCC y GCC High & DOD . Los puntos finales GCC y GCC High & DOD son puntos finales para los clientes del Gobierno de EE.UU. Sugerencia: Cuando este parámetro está habilitado, no puede configurar el parámetro Regiones .
Para obtener más información, consulte Microsoft Defender for Endpoint for US Government customers (https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/gov?view=o365-worldwide). |
| GCC Type | Seleccione GCC o GCC High & DOD.
|
| Use Proxy | Si se configura un proxy para QRadar , todo el tráfico del origen de registro viaja a través del proxy para que QRadar pueda acceder a la API SIEM de Microsoft 365 Defender. Configure los campos Servidor proxy, Puerto proxy, Nombre de usuario de proxyy Contraseña de proxy . Si el proxy no requiere autenticación, configure los campos Servidor proxy y Puerto proxy . |
| Recurrence | Puede especificar la frecuencia con la que el registro recopila datos. El formato es M/H/D para Minutos/Hours/Días. El valor predeterminado es 5 M. |
| EPS Throttle | El número máximo de sucesos por segundo que QRadar ingiere. Si el origen de datos supera el regulador EPS, la recopilación de datos se retrasa. Los datos se siguen recopilando y, a continuación, se ingieren cuando el origen de datos deja de superar el regulador EPS. El valor predeterminado es de 5000. |
Si necesita crear máquinas virtuales (VM) y probar la conexión entre Microsoft Defender for Endpoint y QRadar, consulte Laboratorio de evaluación de Microsoft Defender for Endpoint (https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/evaluation-lab?view=o365-worldwide).