Migrieren von der MDE SIEM-API zur Microsoft Defender XDR-Warnungs-API

  • Artikel

Gilt für:

Verwenden der neuen Microsoft Defender XDR-API für alle Warnungen

Die Microsoft Defender XDR-Warnungs-API, die für die öffentliche Vorschau in MS Graph veröffentlicht wurde, ist die offizielle und empfohlene API für Kunden, die von der SIEM-API migrieren. Diese API ermöglicht Es Kunden, mit Warnungen für alle Microsoft Defender XDR Produkte mithilfe einer einzigen Integration zu arbeiten. Wir gehen davon aus, dass die neue API bis zum 1. Quartal 2023 die allgemeine Verfügbarkeit (General Availability, GA) erreichen wird.

Die SIEM-API wurde am 31. Dezember 2023 eingestellt. Es wird als "veraltet", aber nicht als "eingestellt" deklariert. Dies bedeutet, dass die SIEM-API bis zu diesem Datum für bestehende Kunden weiterhin funktioniert. Nach dem Datum der Einstellung ist die SIEM-API weiterhin verfügbar, wird jedoch nur für sicherheitsbezogene Korrekturen unterstützt.

Ab dem 31. Dezember 2024, drei Jahre nach der ursprünglichen Ankündigung, behalten wir uns das Recht vor, die SIEM-API ohne weitere Ankündigung zu deaktivieren.

Weitere Informationen zu den neuen APIs finden Sie in der Blogankündigung: Die neuen Microsoft Defender XDR-APIs in Microsoft Graph sind jetzt in der öffentlichen Vorschau verfügbar!

API-Dokumentation: Verwenden der Microsoft Graph-Sicherheits-API – Microsoft Graph

Wenn Sie ein Kunde sind, der die SIEM-API verwendet, wird dringend empfohlen, die Migration zu planen und auszuführen. Dieser Artikel enthält Informationen zu den verfügbaren Optionen für die Migration zu einer unterstützten Funktion:

  1. Pullen MDE Warnungen in ein externes System (SIEM/SOAR).

  2. Direktes Aufrufen der Microsoft Defender XDR-Warnungs-API.

Informieren Sie sich über die neue api für warnungen und incidents Microsoft Defender XDR

Pullen von Defender für Endpunkt-Warnungen in ein externes System

Wenn Sie Defender für Endpunkt-Warnungen in ein externes System pullen, gibt es mehrere unterstützte Optionen, um Organisationen die Flexibilität zu geben, mit der Lösung ihrer Wahl zu arbeiten:

  1. Microsoft Sentinel ist eine skalierbare, cloudnative SIEM- und Sicherheitsorchestrierungs-, Automatisierungs- und Reaktionslösung (SOAR). Bietet intelligente Sicherheitsanalysen und Threat Intelligence im gesamten Unternehmen und bietet eine einzige Lösung für die Erkennung von Angriffen, die Sichtbarkeit von Bedrohungen, die proaktive Suche und die Reaktion auf Bedrohungen. Mit dem Microsoft Defender XDR-Connector können Kunden problemlos alle ihre Incidents und Warnungen aus allen Microsoft Defender XDR Produkten abrufen. Weitere Informationen zur Integration finden Sie unter Microsoft Defender XDR Integration in Microsoft Sentinel.

  2. IBM Security QRadar SIEM bietet zentralisierte Transparenz und intelligente Sicherheitsanalysen, um Bedrohungen und Sicherheitsrisiken zu identifizieren und zu verhindern, dass sie den Geschäftsbetrieb stören. Das QRadar SIEM-Team hat gerade die Veröffentlichung einer neuen DSM angekündigt, die in die neue Microsoft Defender XDR-Warnungs-API integriert ist, um Microsoft Defender for Endpoint Warnungen zu pullen. Neue Kunden können den neuen DSM bei der Veröffentlichung nutzen. Weitere Informationen zur neuen DSM und zur einfachen Migration zu dieser finden Sie unter Microsoft Defender XDR – IBM-Dokumentation.

  3. Splunk SOAR hilft Kunden dabei, Workflows zu orchestrieren und Aufgaben in Sekundenschnelle zu automatisieren, um intelligenter zu arbeiten und schneller zu reagieren. Splunk SOAR ist in die neuen Microsoft Defender XDR-APIs integriert, einschließlich der Warnungs-API. Weitere Informationen finden Sie unter Microsoft Defender XDR | Splunkbase

Andere Integrationen sind unter Technologische Partner von Microsoft Defender XDR aufgeführt, oder wenden Sie sich an Ihren SIEM/SOAR-Anbieter, um mehr über die von ihnen bereitgestellten Integrationen zu erfahren.

Direktes Aufrufen der Microsoft Defender XDR-Warnungs-API

Die folgende Tabelle enthält eine Zuordnung zwischen der SIEM-API und der Microsoft Defender XDR-Warnungs-API:

SIEM-API-Eigenschaft Zuordnung Microsoft Defender XDR Warnungs-API-Eigenschaft
AlertTime -> createdDateTime
ComputerDnsName -> evidence/deviceEvidence: deviceDnsName
AlertTitle -> title
Category -> category
Severity -> severity
AlertId -> id
Actor -> actorDisplayName
LinkToWDATP -> alertWebUrl
IocName X IoC-Felder werden nicht unterstützt
IocValue X IoC-Felder werden nicht unterstützt
CreatorIocName X IoC-Felder werden nicht unterstützt
CreatorIocValue X IoC-Felder werden nicht unterstützt
Sha1 -> evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName -> evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath -> evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress -> evidence/ipEvidence: ipAddress
URL -> evidence/urlEvidence: url
IoaDefinitionId -> detectorId
UserName -> evidence/userEvidence/userAccount: accountName
AlertPart X Veraltet (Defender für Endpunkt-Warnungen sind atomar/vollständig, die aktualisierbar sind, während die SIEM-API unveränderliche Datensätze von Erkennungen darstellte)
FullId X IoC-Felder werden nicht unterstützt
LastProcessedTimeUtc -> lastActivityDateTime
ThreatCategory -> mitreTechniques []
ThreatFamilyName -> threatFamilyName
ThreatName -> threatDisplayName
RemediationAction -> evidence: remediationStatus
RemediationIsSuccess -> evidence: remediationStatus (implied)
Source -> detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5 X Nicht unterstützt
Sha256 -> evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected -> evidence/processEvidence: detectionStatus
UserDomain -> evidence/userEvidence/userAccount: domainName
LogOnUsers -> evidence/deviceEvidence: loggedOnUsers []
MachineDomain -> Enthalten in evidence/deviceEvidence: deviceDnsName
MachineName -> Enthalten in evidence/deviceEvidence: deviceDnsName
InternalIPV4List X Nicht unterstützt
InternalIPV6List X Nicht unterstützt
FileHash -> Verwenden Sie sha1 oder sha256
DeviceID -> evidence/deviceEvidence: mdeDeviceId
MachineGroup -> evidence/deviceEvidence: rbacGroupName
Description -> description
DeviceCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CommandLine -> evidence/processEvidence: processCommandLine
IncidentLinkToWDATP -> incidentWebUrl
ReportId X Veraltet (Defender für Endpunkt-Warnungen sind atomar/vollständig, die aktualisierbar sind, während die SIEM-API unveränderliche Datensätze von Erkennungen darstellte)
LinkToMTP -> alertWebUrl
IncidentLinkToMTP -> incidentWebUrl
ExternalId X Veraltet
IocUniqueId X IoC-Felder werden nicht unterstützt

Erfassen von Warnungen mithilfe von SIEM-Tools (Security Information and Events Management)

Hinweis

Microsoft Defender for Endpoint Warnung besteht aus einem oder mehreren verdächtigen oder schädlichen Ereignissen, die auf dem Gerät aufgetreten sind, und den zugehörigen Details. Die Microsoft Defender for Endpoint Warnungs-API ist die neueste API für die Warnungsnutzung und enthält eine detaillierte Liste verwandter Beweise für jede Warnung. Weitere Informationen finden Sie unter Warnungsmethoden und -eigenschaften undAuflisten von Warnungen.

Microsoft Defender for Endpoint unterstützt SIEM-Tools (Security Information and Event Management), die Informationen von Ihrem Unternehmensmandanten in Microsoft Entra ID mithilfe des OAuth 2.0-Authentifizierungsprotokolls für eine registrierte Microsoft Entra -Anwendung, die die spezifische SIEM-Lösung oder den connector darstellt, die in Ihrer Umgebung installiert ist.

Weitere Informationen finden Sie unter:

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.