Microsoft Defender dla chmury

Program IBM® QRadar® DSM for Microsoft Defender for Cloud gromadzi zdarzenia JSON z programu Microsoft™ Defender for Cloud. Zdarzenia można gromadzić za pomocą protokołu Microsoft Graph Security API i protokołu koncentratorów zdarzeń Microsoft Azure .

Ważne:

Nazwa programu Microsoft Azure Security Center DSM jest teraz nazwą programu Microsoft Defender for Cloud DSM. Nazwa modułu RPM DSM pozostaje nazwą Microsoft Azure Security Center w produkcie QRadar.

Aby zintegrować program Microsoft Defender for Cloud z produktem QRadar, wykonaj następujące kroki:
  1. Jeśli aktualizacje automatyczne nie są włączone, pakiety RPM są dostępne do pobrania z serwisu WWW wsparcia IBM (http://www.ibm.com/support). Pobierz i zainstaluj najnowszą wersję następujących pakietów RPM na QRadar Console:
    • Microsoft Defender for Cloud DSM RPM
    • Microsoft Graph Security API Protocol DSM (Aby dodać źródło dziennika za pomocą protokołu Microsoft Graph Security API , należy pobrać ten pakiet RPM)
    • Microsoft Azure Event Hubs Protocol RPM (Aby dodać źródło dziennika za pomocą protokołu Microsoft Azure Event Hubs, pobierz ten pakiet RPM).
  2. Opcjonalnie: skonfiguruj program Microsoft Defender for Cloud do wysyłania zdarzeń do programu QRadar , gdy używany jest Security APIprogramu Microsoft Graph. Więcej informacji na ten temat zawiera sekcja Eksportowanie alertów i rekomendacji dotyczących zabezpieczeń https://docs.microsoft.com/en-us/azure/security-center/continuous-export.
  3. Opcjonalnie: skonfiguruj program Microsoft Defender for Cloud, aby wysyłał zdarzenia do produktu QRadar , gdy używany jest produkt Microsoft Azure Event Hub. Więcej informacji na ten temat zawiera sekcja Stream alerts to QRadar (https://learn.microsoft.com/en-us/azure/defender-for-cloud/export-to-siem#stream-alerts-to-qradar-and-splunk).
  4. Dodaj źródło dziennika programu Microsoft Defender for Cloud na serwerze QRadar Console.