Microsoft 365 Defender の Microsoft Defender for Endpoint SIEM REST API ログ・ソース・パラメーター
IBM QRadarが自動的にログソースを検出しない場合は、Microsoft Defender for Endpoint SIEM REST API プロトコルを使用して、'QRadar ConsoleにMicrosoft 365Defender ログソースを追加します。
Microsoft Defender for Endpoint SIEM REST API プロトコルを使用する場合は、特定のパラメーターを使用する必要があります。
重要:
- Microsoft Windows Defender ATP DSM の名前が Microsoft 365 Defender DSM になりました。 DSM RPM 名は、 QRadarでは Microsoft Windows Defender ATP のままです。
- 2021 年 11 月 25 日時点で Microsoft Defender API スイートが変更されたため、Microsoft は SIEM API との新しい統合のオンボーディングを許可しなくなりました。 詳しくは、 レガシー SIEM API の非推奨化 (https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/deprecating-the-legacy-siem-api/ba-p/3139643) を参照してください。
Streaming API は、 QRadarへのイベントおよびアラートの転送を提供するために Microsoft Azure Event Hubs プロトコルとともに使用できます。 サービスとその構成について詳しくは、 Configure Microsoft 365 Defender to stream Advanced ハンティング・イベント to your Azure Event Hub (https://docs.micosoft.com/en-us/microsoft-365/security/defender/streaming-api-event-hub?view=o365-worldwide) を参照してください。
以下の表には、 Microsoft 365 Defender から Microsoft Defender for Endpoint SIEM REST API イベントを収集するために固有の値を必要とするパラメーターの説明が示されています。
| パラメーター | 値 |
|---|---|
| Log Source type | Microsoft 365 Defender |
| Protocol Configuration | Microsoft Defender for Endpoint SIEM REST API |
Microsoft Defender for Endpoint SIEM REST API ログ・ソース・プロトコルのパラメーターとその値の完全なリストについては、 Microsoft Defender for Endpoint SIEM REST API プロトコルの構成オプションを参照してください。