Microsoft Defender for Endpoint REST API プロトコル構成オプション
Microsoft Defender for Endpoint REST API プロトコルは、アウトバウンド/アクティブ プロトコルです。
Streaming API は、 QRadarへのイベントおよびアラートの転送を提供するために Microsoft Azure Event Hubs プロトコルとともに使用できます。 サービスとその構成に関する詳細については、 「 Microsoft 365 Defender を構成して高度な調査イベントを Azure Event Hub にストリーミングする 」( https://docs.micosoft.com/en-us/microsoft-365/security/defender/streaming-api-event-hub?view=o365-worldwide ) を参照してください
| パラメーター | 値 |
|---|---|
| Log Source type | Microsoft 365 Defender |
| Protocol Configuration | Microsoft Defender for Endpoint REST API |
| Log Source Identifier | ログ・ソースの固有名を入力します。 「ログ・ソース ID」には、任意の有効な値を使用でき、特定のサーバーを参照する必要はありません。 また、 「ログ・ソース名」と同じ値にすることもできます。 複数のMicrosoft Defender for Endpoint REST APIログソースを設定している場合は、それぞれに一意の名前を付けるようにしてください。 |
| Authorization Server URL | アクセス・トークンを取得するための許可を提供するサーバーの URL。 アクセストークンは Microsoft 365 からイベントを収集するための認証として使用されます。 許可サーバー URL は、以下の形式を使用します。
ここで、<Tenant_ID>は UUIDです。 |
| Resource | Microsoft 365 Defender API(Microsoft Graph経由 Security API )のイベントにアクセスするために使用されるリソース。 |
| Client ID | ユーザーがアクセス・トークンの取得を許可されていることを確認します。 |
| Client Secret | 「クライアント秘密鍵 (Client Secret)」の値は 1 度のみ表示され、その後は表示されなくなります。 「クライアント秘密鍵 (Client Secret)」の値にアクセスできない場合は、Microsoft Azure の管理者に問い合わせて、新しいクライアント秘密鍵を要求してください。 |
| Region | Microsoft 365 Defender API(Microsoft Graph経由 Security API )に関連付けられている、ログを収集したいリージョンを選択してください。 |
| Other Region | Microsoft 365 Defender API(Microsoft Graph経由 Security API )に関連付けられている、ログを収集したい追加のリージョンの名前を入力してください。 コンマ区切りリストを使用します (例: region1,region2)。 |
| Use GCC Endpoints | GCC エンドポイントおよび GCC High & DOD エンドポイントの使用を有効または無効にします。 GCC および GCC High & DOD エンドポイントは、米国政府のお客様のエンドポイントです。 ヒント: このパラメーターを有効にすると、 「地域」 パラメーターを構成できません。
詳しくは、 Microsoft Defender for Endpoint for US Government customers (https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/gov?view=o365-worldwide) を参照してください。 |
| GCC Type | GCC または GCC High & DOD を選択します。
|
| Use Proxy | プロキシが QRadar 設定されている場合、ログソースの全トラフィックはプロキシを経由して送信され、 Microsoft 365 Defender API(Microsoft Graph経由 Security API )にアクセス QRadar できるようになります。 「プロキシー・サーバー」、「プロキシー・ポート」、「プロキシー・ユーザー名」、「プロキシー・パスワード」の各フィールドを構成します。 プロキシーが認証を必要としない場合、「プロキシー・サーバー」フィールドおよび「プロキシー・ポート」フィールドを構成します。 |
| Recurrence | ログにデータが収集される頻度を指定できます。 フォーマットは、分/時/日を表す M/H/D です。 デフォルトは 5 M です。 |
| EPS Throttle | QRadar が取り込む 1 秒当たりのイベントの最大数。 データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。 デフォルトは 5000 です。 |
仮想マシン (VM) を作成し、Microsoft Defender for Endpoint と QRadarの間の接続をテストする必要がある場合は、 Microsoft Defender for Endpoint 評価ラボ (https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/evaluation-lab?view=o365-worldwide) を参照してください。