Wir haben die Einführung dieser Funktion pausiert. Wir werden über das Message Center bekannt geben, wenn wir bereit sind, fortzufahren. Vielen Dank für Ihre Geduld.
Im Rahmen unseres fortlaufenden Konvergenzprozesses für alle Microsoft Defender Workloads planten wir, die SIEM (Security Information and Event Management)-Agenten von Microsoft Defender for Cloud Apps Ende Dezember 2025 (ursprünglich Mitte November) bis Anfang Januar 2026 (ursprünglich Ende November 2025) einzustellen. Wir haben diese Veröffentlichung pausiert und werden über das Message Center kommunizieren, wenn wir bereit sind, fortzufahren.
Wir empfehlen, auf APIs umzusteigen, die die Verwaltung von Aktivitäten- und Alarmdaten aus mehreren Workloads unterstützen.
Auswirkungen auf Ihre Organisation:
Die bestehenden Microsoft Defender for Cloud Apps SIEM-Agenten funktionieren bis zu ihrer Einstellung weiter, aber ab dem 19. Juni 2025 können keine neuen SIEM-Agenten mehr konfiguriert werden. Microsoft Sentinel-Agenten bleiben unterstützt und können weiterhin hinzugefügt werden.
Die von Defender for Cloud Apps derzeit in den SIEM-Agenten unterstützten Alarm- und Aktivitätsdaten sind auch in der einheitlichen API und SIEM-Lösungen verfügbar, die Zugriff auf Alarm- und Aktivitätsdaten für alle Microsoft-Sicherheitsprodukte bieten und eine arbeitslastübergreifende Sichtbarkeit ermöglichen:
- Für Alarme und Aktivitäten, Defender XDR Streaming-API: Stream Microsoft Defender XDR events - Microsoft Defender XDR | Microsoft Learn
- Für Microsoft Entra ID Protection Anmeldeereignisse: IdentityLogonEvents table in the advanced hunting schema - Microsoft Defender XDR | Microsoft Learn
- Für Alarme, Microsoft Graph Security Alerts API (v2): List alerts_v2 - Microsoft Graph v1.0 | Microsoft Learn
- Wir empfehlen außerdem, die Defender for Cloud Apps Alarmdaten in der Microsoft Defender XDR Incidents API zu betrachten. Weitere Informationen: Microsoft Defender XDR incidents APIs and the incidents resource type - Microsoft Defender XDR | Microsoft Learn
Diese APIs verbessern die Sicherheitsüberwachung und -verwaltung und bieten zusätzliche unterstützte Funktionen, die Daten aus mehreren Microsoft Defender Workloads nutzen.
Was Sie zur Vorbereitung tun sollten:
Um Kontinuität und Zugriff auf dieselben Daten sicherzustellen, die vor der Einstellung über Microsoft Defender for Cloud Apps SIEM-Agenten verfügbar waren, empfehlen wir den Übergang zu den unterstützten einheitlichen API- und SIEM-Lösungen. Wir empfehlen, mit der Planung Ihrer Migration zu diesen Lösungen zu beginnen, um von ihren erweiterten Funktionen zu profitieren.
Weitere Informationen: Generic SIEM integration - Microsoft Defender for Cloud Apps | Microsoft Learn