Migrace z rozhraní MDE SIEM API na rozhraní API pro upozornění Microsoft Defender XDR
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Použití nového rozhraní MICROSOFT DEFENDER XDR API pro všechna upozornění
Rozhraní API pro upozornění Microsoft Defender XDR vydané ve verzi Public Preview v MS Graphu je oficiálním a doporučeným rozhraním API pro zákazníky, kteří migrují z rozhraní SIEM API. Toto rozhraní API umožňuje zákazníkům pracovat s upozorněními napříč všemi produkty Microsoft Defender XDR pomocí jediné integrace. Očekáváme, že nové rozhraní API dosáhne obecné dostupnosti (GA) do 1. čtvrtletí 2023.
Rozhraní SIEM API bylo vyřazeno 31. prosince 2023. Je deklarován jako "zastaralý", ale ne "vyřazený". To znamená, že až do tohoto data bude rozhraní SIEM API dál fungovat pro stávající zákazníky. Po datu vyřazení bude rozhraní API SIEM dál dostupné, ale bude podporováno pouze pro opravy související se zabezpečením.
S platností od 31. prosince 2024, tři roky po původním oznámení o vyřazení, si vyhrazujeme právo vypnout rozhraní SIEM API bez dalšího upozornění.
Další informace o nových rozhraních API najdete v oznámení blogu: Nová rozhraní API Microsoft Defender XDR v Microsoft Graphu jsou teď dostupná ve verzi Public Preview!
Dokumentace k rozhraní API: Použití rozhraní Microsoft Graph Security API – Microsoft Graph
Pokud jste zákazník, který používá rozhraní SIEM API, důrazně doporučujeme naplánovat a spustit migraci. Tento článek obsahuje informace o dostupných možnostech migrace na podporovanou funkci:
Načítání MDE výstrah do externího systému (SIEM/SOAR).
Přímé volání rozhraní API pro upozornění Microsoft Defender XDR
Přečtěte si o novém rozhraní API pro výstrahy a incidenty Microsoft Defender XDR.
Vyžádání upozornění Defenderu for Endpoint do externího systému
Pokud přetahujete upozornění Defenderu for Endpoint do externího systému, existuje několik podporovaných možností, jak organizacím poskytnout flexibilitu při práci s řešením podle jejich výběru:
Microsoft Sentinel je škálovatelné řešení SOAR (SIEM) a orchestrace, automatizace a reakce zabezpečení (SOAR) nativní pro cloud. Poskytuje inteligentní analýzy zabezpečení a analýzu hrozeb v celém podniku a poskytuje jedno řešení pro detekci útoků, viditelnost hrozeb, proaktivní proaktivní proaktivní vyhledávání a reakci na hrozby. Konektor Microsoft Defender XDR umožňuje zákazníkům snadno získat všechny incidenty a výstrahy ze všech Microsoft Defender XDR produktů. Další informace o integraci najdete v tématu Microsoft Defender XDR integrace se službou Microsoft Sentinel.
IBM Security QRadar SIEM poskytuje centralizovaný přehled a inteligentní analýzy zabezpečení, které identifikují a zabraňují hrozbám a ohrožením zabezpečení, aby narušily obchodní operace. Tým QRadar SIEM právě oznámil vydání nového DSM, který je integrovaný s novým rozhraním API pro upozornění Microsoft Defender XDR pro vyžádání Microsoft Defender for Endpoint výstrah. Noví zákazníci můžou při vydání využít výhod nového DSM. Další informace o novém DSM a o tom, jak na něj snadno migrovat, najdete v Microsoft Defender XDR – Dokumentace IBM.
Splunk SOAR pomáhá zákazníkům orchestrovat pracovní postupy a automatizovat úlohy v řádu sekund, aby mohli pracovat chytřeji a rychleji reagovat. Splunk SOAR je integrovaný s novými rozhraními API Microsoft Defender XDR, včetně rozhraní API pro upozornění. Další informace najdete v tématu Microsoft Defender XDR | Splunkbase
Další integrace jsou uvedené v části Technologickí partneři Microsoft Defender XDR nebo se obraťte na svého poskytovatele SIEM nebo SOAR, aby se dozvěděli o integracích, které poskytují.
Přímé volání rozhraní API pro upozornění Microsoft Defender XDR
Následující tabulka obsahuje mapování mezi rozhraním API SIEM na rozhraní API pro upozornění Microsoft Defender XDR:
| Vlastnost rozhraní SIEM API | Mapování | vlastnost rozhraní API pro upozornění Microsoft Defender XDR |
|---|---|---|
AlertTime |
-> | createdDateTime |
ComputerDnsName |
-> | evidence/deviceEvidence: deviceDnsName |
AlertTitle |
-> | title |
Category |
-> | category |
Severity |
-> | severity |
AlertId |
-> | id |
Actor |
-> | actorDisplayName |
LinkToWDATP |
-> | alertWebUrl |
IocName |
X | Nepodporovaná pole IoC |
IocValue |
X | Nepodporovaná pole IoC |
CreatorIocName |
X | Nepodporovaná pole IoC |
CreatorIocValue |
X | Nepodporovaná pole IoC |
Sha1 |
-> | evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1) |
FileName |
-> | evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName) |
FilePath |
-> | evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath) |
IPAddress |
-> | evidence/ipEvidence: ipAddress |
URL |
-> | evidence/urlEvidence: url |
IoaDefinitionId |
-> | detectorId |
UserName |
-> | evidence/userEvidence/userAccount: accountName |
AlertPart |
X | Zastaralé (upozornění Defenderu for Endpoint jsou atomická nebo úplná a dají se aktualizovat, zatímco rozhraní API SIEM bylo neměnné záznamy detekce) |
FullId |
X | Nepodporovaná pole IoC |
LastProcessedTimeUtc |
-> | lastActivityDateTime |
ThreatCategory |
-> | mitreTechniques [] |
ThreatFamilyName |
-> | threatFamilyName |
ThreatName |
-> | threatDisplayName |
RemediationAction |
-> | evidence: remediationStatus |
RemediationIsSuccess |
-> | evidence: remediationStatus (implied) |
Source |
-> | detectionSource (use with serviceSource: microsoftDefenderForEndpoint) |
Md5 |
X | Není podporováno |
Sha256 |
-> | evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256) |
WasExecutingWhileDetected |
-> | evidence/processEvidence: detectionStatus |
UserDomain |
-> | evidence/userEvidence/userAccount: domainName |
LogOnUsers |
-> | evidence/deviceEvidence: loggedOnUsers [] |
MachineDomain |
-> | Zahrnuto v evidence/deviceEvidence: deviceDnsName |
MachineName |
-> | Zahrnuto v evidence/deviceEvidence: deviceDnsName |
InternalIPV4List |
X | Není podporováno |
InternalIPV6List |
X | Není podporováno |
FileHash |
-> | Použít sha1 nebo sha256 |
DeviceID |
-> | evidence/deviceEvidence: mdeDeviceId |
MachineGroup |
-> | evidence/deviceEvidence: rbacGroupName |
Description |
-> | description |
DeviceCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CloudCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CommandLine |
-> | evidence/processEvidence: processCommandLine |
IncidentLinkToWDATP |
-> | incidentWebUrl |
ReportId |
X | Zastaralé (upozornění Defenderu for Endpoint jsou atomická nebo úplná a dají se aktualizovat, zatímco rozhraní API SIEM bylo neměnné záznamy detekce) |
LinkToMTP |
-> | alertWebUrl |
IncidentLinkToMTP |
-> | incidentWebUrl |
ExternalId |
X | Zastaralé |
IocUniqueId |
X | Nepodporovaná pole IoC |
Ingestování výstrah pomocí nástrojů pro správu událostí a informací o zabezpečení (SIEM)
Poznámka
Microsoft Defender for Endpoint Výstraha se skládá z jedné nebo několika podezřelých nebo škodlivých událostí, ke kterým došlo na zařízení, a jejich souvisejících podrobností. Rozhraní API pro výstrahy Microsoft Defender for Endpoint je nejnovějším rozhraním API pro použití upozornění a obsahuje podrobný seznam souvisejících důkazů pro každou výstrahu. Další informace najdete v tématech Metody a vlastnosti upozornění aVypsat výstrahy.
Microsoft Defender for Endpoint podporuje nástroje pro správu událostí a informací zabezpečení (SIEM), které ingestují informace z podnikového tenanta v Microsoft Entra ID pomocí ověřovacího protokolu OAuth 2.0 pro zaregistrovaný Microsoft Entra aplikace představující konkrétní řešení nebo konektor SIEM nainstalovaný ve vašem prostředí.
Další informace najdete tady:
- licence a podmínky použití rozhraní MICROSOFT DEFENDER FOR ENDPOINT API
- Přístup k rozhraním API aplikace Microsoft Defender for Endpoint
- Hello World příklad (popisuje, jak zaregistrovat aplikaci v Microsoft Entra ID)
- Získání přístupu pomocí kontextu aplikace
- integrace Microsoft Defender XDR SIEM
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.