Microsoft Defender per Cloud

Il DSM 'IBM QRadar per Microsoft Defender for Cloud raccoglie eventi JSON da un Microsoft Defender for Cloud. Gli eventi possono essere raccolti utilizzando il protocollo Microsoft Graph Security API e il protocollo Microsoft Azure Event Hubs.

Importante:

Il nome DSM del centro di sicurezza Microsoft Azure è ora Microsoft Defender for Cloud DSM. Il nome RPM DSM rimane come Microsoft Azure Security Center in QRadar.

Per integrare Microsoft Defender for Cloud con QRadar, completa la seguente procedura:
  1. Se gli aggiornamenti automatici non sono abilitati, gli RPM sono disponibili per il download dal sito web di supporto IBM® (http://www.ibm.com/support). Scaricare e installare la versione più recente dei seguenti RPM su QRadar Console:
    • Microsoft Defender per Cloud DSM RPM
    • DSM protocollo Microsoft Graph Security API (se si desidera aggiungere un'origine log utilizzando il protocollo Microsoft Graph Security API , scaricare questo RPM.)
    • Microsoft Azure Event Hubs Protocol RPM (Se si desidera aggiungere un'origine log utilizzando il protocollo Microsoft Azure Event Hubs, scaricare questo RPM.)
  2. Facoltativo: configura Microsoft Defender per Cloud per inviare gli eventi a QRadar quando utilizzi Microsoft Graph Security API. Per ulteriori informazioni, consultare Esporta avvisi e consigli di sicurezza https://docs.microsoft.com/en-us/azure/security-center/continuous-export).
  3. Facoltativo: configura Microsoft Defender for Cloud per inviare eventi a QRadar quando utilizzi Microsoft Azure Event Hub. Per ulteriori informazioni, consultare Stream alerts to QRadar (https://learn.microsoft.com/en-us/azure/defender-for-cloud/export-to-siem#stream-alerts-to-qradar-and-splunk)
  4. Aggiungere un'origine log Microsoft Defender for Cloud su QRadar Console.