# Microsoft 365 Defender-Kollektor hinzufügen Klicke auf **Kollektor hinzufügen** in der rechten oberen Ecke der [Microsoft 365 Defender-Übersicht](/docs/manual/bedienung-der-plattform/siem/api-kollektoren/api-kollektoren-ubersicht.md#drittanbieterdienst-ubersicht), um einen neuen Kollektor zu erstellen. Es öffnet sich die Ansicht **SIEM** → **Microsoft 365 Defender**→ **Hinzufügen**.

Klicke auf **Kollektor hinzufügen**, nachdem du alle Einstellungen vorgenommen hast, um den neuen Kollektor zu speichern und erstellen. Klicke auf **Zurück**, um zurück zur Listenübersicht zu gelangen. {% hint style="danger" %} **Bitte beachte**: Verlässt du diese Ansicht, ohne auf **Kollektor hinzufügen** zu klicken, sind alle vorgenommenen Einstellungen unwiederbringlich verloren! {% endhint %} *** ## Voraussetzungen Damit der API-Kollektor für Microsoft Defender 365 in der Enginsight Plattform korrekt konfiguriert werden kann, müssen folgende Voraussetzungen erfüllt sein: * In Microsoft Entra ID (vormals Microsoft Azure) muss eine Anwendung für die Microsoft Graph API registriert worden und ein geheimer Client-Schlüssel (Client Secret) erstellt oder ein selbst erzeugtes Zertifikat hochgeladen worden sein. Mehr Informationen hierzu findest du in der [offiziellen Hersteller-Dokumentation](https://learn.microsoft.com/de-de/graph/auth-register-app-v2). * Die Microsoft Graph API muss die Berechtigungen **SecurityEvents.Read.All** und **SecurityIncident.Read.All** haben und es muss die Administratorzustimmung erteilt worden sein. * Du musst deine Tenant-ID (Verzeichnis-ID (Mandant)) kennen. * Du musst deine zum erstellten Client Secret gehörende Client-ID kennen. {% hint style="info" %} **Bitte beachte**: Enginsight übernimmt keine Gewähr für die Inhalte der Dokumentation von Drittanbietern. {% endhint %} *** ## Einstellungen Folgende Optionen stehen zur Verfügung:

Option	Beschreibung
Name	Gib dem Kollektor einen aussagekräftigen Namen.
Beschreibung	Beschreibe den Kollektor genauer. Dieses Feld ist optional.
Aktiviert	Aktiviere den Kollektor, damit Logs empfangen und an das SIEM weitergeleitet werden. Diese Option ist standardmäßig aktiviert. Setze einen Haken in die Checkbox neben Aktiviert oder entferne den Haken aus der Checkbox , um den Kollektor zu deaktivieren.
Hosts	Lege den Host fest, auf dem der API-Kollektor ausgeführt werden und der die empfangenen Log-Daten an das SIEM weiterleiten soll. Bitte beachte: Damit ein Host als API-Kollektor ausgewählt werden kann, muss für diesen in den Host-Einstellungen im Bereich Core Feature die Option SIEM-Integration aktiviert sein. Klicke in das Feld Hosts, um eine Liste aller verfügbaren Hosts auszuklappen, und wähle einen Host aus. Oder nutze die Freitexteingabe, um einen Host in der Liste schneller zu finden. Klicke auf das Entfernen-Symbol neben einem hinzugefügten Host, um ihn aus dem Feld Hosts zu entfernen.
Kanäle	Lege fest, welche Arten von Daten der Kollektor über die Microsoft Graph API abrufen und an das SIEM weiterleiten soll. Standardmäßig sind alle verfügbaren Kanäle ausgewählt. Klicke in das Feld Kanäle, um eine Liste aller verfügbaren Arten von Daten auszuklappen, und wähle einen oder mehrere Kanäle aus. Ausgewählte Kanäle werden in der Liste magentafarben eingefärbt. Klicke erneut auf einen Kanal, um ihn aus dem Feld Kanäle zu entfernen.
Tenant Id	Gib die Tenant-ID (Verzeichnis-ID (Mandant) des Microsoft 365-Mandanten an.
Client Id	Gib die Client-ID der in Microsoft Entra ID registrierten Anwendung an.
Authentifizierungsmethode	Lege fest, mit welcher Methode sich der Kollektor gegenüber Microsoft 365 authentifiziert. Die standardmäßig angegebene Methode ist Geheimnisbasierte Authentifizierung. Klicke in das Feld Authentifizierungsmethode, um eine Liste aller verfügbaren Optionen auszuklappen. Folgende Optionen stehen zur Verfügung: Geheimnisbasierte Authentifizierung: Der Kollektor authentifiziert sich mit der Client-ID und einem Client Secret. Zertifikatsbasierte Authentifizierung: Der Kollektor authentifiziert sich mit der Client-ID sowie einem selbst erstellten und hochgeladenen Zertifikat.
Client Secret	Dieses Feld ist nur sichtbar, wenn du im Feld Authentifizierungsmethode die Option Geheimnisbasierte Authentifizierung gewählt hast. Gib die zum erstellten Client Secret gehörende Client-ID an.
Zertifikatsbundle	Dieses Feld ist nur sichtbar, wenn du im Feld Authentifizierungsmethode die Option Zertifikatsbasierte Authentifizierung gewählt hast. Gib das hochgeladene Zertifikatsbundle an, das für die zertifikatsbasierte Authentifizierung verwendet wird.

--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.enginsight.com/docs/manual/bedienung-der-plattform/siem/api-kollektoren/microsoft-365-defender-kollektor-hinzufugen.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.