Übersicht über die Verwaltung und APIs
Gilt für:
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Defender für Endpunkt unterstützt eine Vielzahl von Optionen, um sicherzustellen, dass Kunden die Plattform problemlos übernehmen können.
Da die Kundenumgebungen und -strukturen variieren können, wurde Defender für Endpunkt mit Flexibilität und präziser Kontrolle erstellt, um den unterschiedlichen Kundenanforderungen gerecht zu werden.
Endpunkt-Onboarding und Portalzugriff
Das Onboarding von Geräten ist vollständig in Microsoft Configuration Manager und Microsoft Intune für Clientgeräte und Microsoft Defender für Servergeräte integriert und bietet eine umfassende End-to-End-Erfahrung für Konfiguration, Bereitstellung und Überwachung. Darüber hinaus unterstützt Microsoft Defender for Endpoint Gruppenrichtlinie und andere Tools von Drittanbietern, die für die Geräteverwaltung verwendet werden.
Defender für Endpunkt bietet eine präzise Kontrolle darüber, was Benutzer mit Zugriff auf das Portal sehen und tun können, indem die Flexibilität der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) verwendet wird. Das RBAC-Modell unterstützt alle Arten der Struktur von Sicherheitsteams:
- Global verteilte Organisationen und Sicherheitsteams
- Mehrstufige Sicherheitsbetriebsteams für Modelle
- Vollständig getrennte Abteilungen mit einzelnen zentralisierten globalen Sicherheitsbetriebsteams
Verfügbare APIs
Die Microsoft Defender for Endpoint Lösung basiert auf einer integrationsfähigen Plattform.
Defender für Endpunkt macht einen Großteil seiner Daten und Aktionen über eine Reihe programmgesteuerter APIs verfügbar. Diese APIs ermöglichen es Ihnen, Workflows zu automatisieren und Innovationen basierend auf defender für Endpunkt-Funktionen zu entwickeln.
Die Defender für Endpunkt-APIs können in drei Gruppen gruppiert werden:
- Microsoft Defender for Endpoint-APIs
- API für das Streaming von Rohdaten
- SIEM-Integration
Microsoft Defender for Endpoint-APIs
Defender für Endpunkt bietet ein mehrstufiges API-Modell, das Daten und Funktionen in einem strukturierten, übersichtlichen und einfach zu verwendenden Modell verfügbar macht, das über ein standardmäßiges Azure AD-basiertes Authentifizierungs- und Autorisierungsmodell verfügbar gemacht wird, das den Zugriff im Kontext von Benutzern oder SaaS-Anwendungen ermöglicht. Das API-Modell wurde entwickelt, um Entitäten und Funktionen in einer konsistenten Form verfügbar zu machen.
Sehen Sie sich dieses Video an, um einen schnellen Überblick über die APIs von Defender für Endpunkt zu erhalten.
Die Untersuchungs-API macht die Fülle von Defender für Endpunkt verfügbar– indem berechnete oder "profilierte" Entitäten (z. B. Gerät, Benutzer und Datei) und diskrete Ereignisse (z. B. Prozesserstellung und Dateierstellung) verfügbar gemacht werden, die in der Regel ein Verhalten im Zusammenhang mit einer Entität beschreiben und den Zugriff auf Daten über Untersuchungsschnittstellen ermöglichen, die einen abfragebasierten Zugriff auf Daten ermöglichen. Weitere Informationen finden Sie unter Unterstützte APIs.
Die Antwort-API macht die Möglichkeit verfügbar, Aktionen im Dienst und auf Geräten auszuführen, sodass Kunden Indikatoren erfassen, Einstellungen verwalten, status warnen und programmgesteuert Reaktionsaktionen auf Geräten ausführen können, z. B. Geräte aus dem Netzwerk isolieren, Dateien unter Quarantäne stellen und andere.
API für das Streaming von Rohdaten
Die Rohdatenstreaming-API von Defender für Endpunkt bietet Kunden die Möglichkeit, Echtzeitereignisse und Warnungen von ihren Instanzen zu versenden, wenn sie innerhalb eines einzelnen Datenstroms auftreten, wodurch ein Übermittlungsmechanismus mit geringer Latenz und hohem Durchsatz bereitgestellt wird.
Die Defender für Endpunkt-Ereignisinformationen werden zur langfristigen Datenaufbewahrung direkt in Azure Storage gepusht, oder Azure Event Hubs für die Nutzung durch Visualisierungsdienste oder zusätzliche Datenverarbeitungs-Engines.
Weitere Informationen finden Sie unter Streaming-API für Rohdaten.
Die neue Microsoft Defender XDR Streaming-API umfasst neben Geräteereignissen auch E-Mail- und Warnungsereignisse. Weitere Informationen finden Sie unter Microsoft Defender XDR Streaming-API.
SIEM-API
Wenn Sie die Siem-Integration (Security Information and Event Management) aktivieren, können Sie Erkennungen aus Microsoft Defender XDR pullen, indem Sie Ihre SIEM-Lösung verwenden oder eine direkte Verbindung mit der REST-API für Erkennungen herstellen. Dadurch wird der Abschnitt mit den Zugriffsdetails des SIEM-Connectors mit vorab aufgefüllten Werten aktiviert, und unter Ihrem Microsoft Entra Mandanten wird eine Anwendung erstellt.
Verwandte Themen
- Zugreifen auf die Microsoft Defender für Endpoint-APIs
- Unterstützte APIs
- Chancen für technische Partner
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.