Microsoft Defender for Endpoint REST API プロトコル構成オプション

Microsoft Defender for Endpoint REST API プロトコルを設定し、サポート対象のデバイスサポートモジュール(DSM)からイベントを受信します。

Microsoft Defender for Endpoint REST API プロトコルは、アウトバウンド/アクティブ プロトコルです。

重要: 2021 年 11 月 25 日時点で Microsoft Defender API スイートが変更されたため、Microsoft は SIEM API との新しい統合のオンボーディングを許可しなくなりました。 詳しくは、 レガシー SIEM API の非推奨化 (https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/deprecating-the-legacy-siem-api/ba-p/3139643) を参照してください。

Streaming API は、 QRadarへのイベントおよびアラートの転送を提供するために Microsoft Azure Event Hubs プロトコルとともに使用できます。 サービスとその構成に関する詳細については、 「 Microsoft 365 Defender を構成して高度な調査イベントを Azure Event Hub にストリーミングする 」( https://docs.micosoft.com/en-us/microsoft-365/security/defender/streaming-api-event-hub?view=o365-worldwide ) を参照してください

以下の表は、Microsoft Defender for Endpoint REST API プロトコル固有のパラメーターについて説明しています:
表 1. Microsoft Defender for Endpoint REST API プロトコル
パラメーター
Log Source type Microsoft 365 Defender
Protocol Configuration Microsoft Defender for Endpoint REST API
Log Source Identifier

ログ・ソースの固有名を入力します。

「ログ・ソース ID」には、任意の有効な値を使用でき、特定のサーバーを参照する必要はありません。 また、 「ログ・ソース名」と同じ値にすることもできます。 複数のMicrosoft Defender for Endpoint REST APIログソースを設定している場合は、それぞれに一意の名前を付けるようにしてください。

Authorization Server URL

アクセス・トークンを取得するための許可を提供するサーバーの URL。 アクセストークンは Microsoft 365 からイベントを収集するための認証として使用されます。

許可サーバー URL は、以下の形式を使用します。
"https://login.microsoftonline.com/<Tenant_ID>/oauth2/v2.0/token”
ここで、<Tenant_ID>は UUIDです。
Resource Microsoft 365 Defender API(Microsoft Graph経由 Security API )のイベントにアクセスするために使用されるリソース。
Client ID

ユーザーがアクセス・トークンの取得を許可されていることを確認します。

Client Secret 「クライアント秘密鍵 (Client Secret)」の値は 1 度のみ表示され、その後は表示されなくなります。 「クライアント秘密鍵 (Client Secret)」の値にアクセスできない場合は、Microsoft Azure の管理者に問い合わせて、新しいクライアント秘密鍵を要求してください。
Region

Microsoft 365 Defender API(Microsoft Graph経由 Security API )に関連付けられている、ログを収集したいリージョンを選択してください。

Other Region

Microsoft 365 Defender API(Microsoft Graph経由 Security API )に関連付けられている、ログを収集したい追加のリージョンの名前を入力してください。

コンマ区切りリストを使用します (例: region1,region2)。

Use GCC Endpoints GCC エンドポイントおよび GCC High & DOD エンドポイントの使用を有効または無効にします。 GCC および GCC High & DOD エンドポイントは、米国政府のお客様のエンドポイントです。
ヒント: このパラメーターを有効にすると、 「地域」 パラメーターを構成できません。

詳しくは、 Microsoft Defender for Endpoint for US Government customers (https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/gov?view=o365-worldwide) を参照してください。

GCC Type GCC または GCC High & DOD を選択します。
  • GCC: Microsoft のガバメント・コミュニティー・クラウド
  • GCC High & DoD: 国防総省からの規制に準拠しています。
Use Proxy

プロキシが QRadar 設定されている場合、ログソースの全トラフィックはプロキシを経由して送信され、 Microsoft 365 Defender API(Microsoft Graph経由 Security API )にアクセス QRadar できるようになります。

「プロキシー・サーバー」「プロキシー・ポート」「プロキシー・ユーザー名」「プロキシー・パスワード」の各フィールドを構成します。 プロキシーが認証を必要としない場合、「プロキシー・サーバー」フィールドおよび「プロキシー・ポート」フィールドを構成します。

Recurrence

ログにデータが収集される頻度を指定できます。 フォーマットは、分/時/日を表す M/H/D です。

デフォルトは 5 M です。

EPS Throttle

QRadar が取り込む 1 秒当たりのイベントの最大数。

データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。

デフォルトは 5000 です。

仮想マシン (VM) を作成し、Microsoft Defender for Endpoint と QRadarの間の接続をテストする必要がある場合は、 Microsoft Defender for Endpoint 評価ラボ (https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/evaluation-lab?view=o365-worldwide) を参照してください。