Microsoft 365 Defender

IBM QRadar Microsoft 365Defender DSM は、Streaming API データを収集するためにMicrosoft AzureEvent Hubs プロトコルを使用してMicrosoft 365Defender サービスからイベントを収集します。 Defender for Endpoint SIEM REST API プロトコルを使用して、 Microsoft 365 Defender サービスからアラートおよびデバイス・イベントを収集できます。

Microsoft 365 Defender DSM は、Microsoft Graph API プロトコルを使用して Microsoft Defender for Endpoint Service Alerts V2 API からアラートも収集します。

重要:
  • Microsoft Windows Defender ATP DSM の名前が Microsoft 365 Defender DSM になりました。 DSM RPM 名は、 QRadarでは Microsoft Windows Defender ATP のままです。
  • 2021 年 11 月 25 日時点で Microsoft Defender API スイートが変更されたため、Microsoft は SIEM API との新しい統合のオンボーディングを許可しなくなりました。 詳しくは、 レガシー SIEM API の非推奨化 (https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/deprecating-the-legacy-siem-api/ba-p/3139643) を参照してください。

    Streaming API は、 QRadarへのイベントおよびアラートの転送を提供するために Microsoft Azure Event Hubs プロトコルとともに使用できます。 サービスとその構成について詳しくは、 Configure Microsoft 365 Defender to stream Advanced ハンティング・イベント to your Azure Event Hub (https://docs.micosoft.com/en-us/microsoft-365/security/defender/streaming-api-event-hub?view=o365-worldwide) を参照してください。

Microsoft Azure Event Hubs プロトコルを使用する場合に Microsoft 365 Defender サービスを統合する

Microsoft 365 Defender サービスを QRadarに統合するには、以下の手順を実行します。
  1. 自動アップデートが有効になっていない場合は、IBM® サポートウェブサイト (http://www.ibm.com/support) から最新バージョンの RPM をダウンロードしてください。
    • プロトコル共通 RPM
    • Microsoft Azure イベント・ハブ・プロトコル RPM
    • DSM 共通 RPM
    • Microsoft 365 ディフェンダー DSM RPM
  2. オプション: ストレージ・アカウントを作成します。 詳しくは、 ストレージ・アカウントの作成を参照してください。
    重要: イベント・ハブに接続するには、ストレージ・アカウントが必要です。 詳しくは、 Microsoft Azure Event Hubs プロトコルの FAQを参照してください。
  3. オプション: イベント・ハブを作成します。 詳しくは、 Quickstart: Azure ポータルを使用したイベント・ハブの作成を参照してください。
  4. 拡張ハンティング・イベントを Microsoft Azure イベント・ハブに送信するように Microsoft 365 Defender を構成します。 詳しくは、 Configure Microsoft Defender to stream Advanced Hunting events to your Azure Event Hubを参照してください。
  5. QRadar® が自動的にログソースを検出しない場合は、QRadar Console 上の Microsoft Azure Event Hubs プロトコルを使用する Microsoft 365 Defender ログソースを追加します。 プロトコルについて詳しくは、 Microsoft Azure Event Hubs ログ・ソース・パラメーター ( Microsoft 365 Defender) を参照してください。

Microsoft Defender for Endpoint SIEM REST API プロトコルを使用する場合の Microsoft 365 Defender サービスの統合

Microsoft 365 Defender サービスを QRadarと統合するには、以下の手順を実行します。
  1. 自動更新が有効になっていない場合は、最新バージョンの RPM を IBM サポート Web サイトからダウンロードしてください。
    • プロトコル共通 RPM
    • Microsoft Defender for Endpoint SIEM REST API プロトコル RPM
    • DSMCommon RPM
    • Microsoft 365 ディフェンダー DSM RPM
  2. QRadar Consoleで、Microsoft Defender for Endpoint SIEM REST API プロトコルを使用する Microsoft 365 Defender ログ・ソースを追加します。 QRadar は、Microsoft Defender for Endpoint SIEM REST API を自動的に検出しません。 詳しくは、 Microsoft Defender for Endpoint SIEM REST API ログ・ソース・パラメーター ( Microsoft 365 Defender)を参照してください。

Microsoft Graph Security API プロトコルを使用する場合の Microsoft Defender for Endpoint サービスの統合

Microsoft Defender for Endpoint サービスを QRadarと統合する場合は、以下のステップを実行します。
  1. 自動更新が有効になっていない場合は、最新バージョンの RPM を IBM サポート Web サイトからダウンロードしてください。
    • プロトコル共通 RPM
    • Microsoft Graph Security API プロトコル RPM
    • DSMCommon RPM
    • Microsoft 365 ディフェンダー DSM RPM
  2. QRadar Consoleで Microsoft Graph Security API プロトコルを使用する Microsoft 365 Defender ログ・ソースを追加します。 QRadar は、Microsoft Graph Security APIを自動的に検出しません。 詳しくは、 Microsoft 365 Defender の Microsoft Graph Security API ログ・ソース・パラメーターを参照してください。