Accedere alle notifiche degli eventi imprevisti usando API Graph
Si applica a:
Le notifiche degli esperti defender sono eventi imprevisti generati dalla ricerca condotta da Defender Experts nell'ambiente in uso. Contengono informazioni relative all'indagine di ricerca e alle azioni consigliate fornite da Defender Experts. È ora possibile accedere alle reti DEN usando l'API di sicurezza di Microsoft Graph.
Nota
Qualsiasi evento imprevisto nel portale di Microsoft Defender è una raccolta di avvisi correlati. Altre informazioni
I dettagli di notifica di Defender Experts seguenti sono disponibili nel portale di Microsoft Defender:
- Titolo dell'evento imprevisto : inizia con Defender Experts per distinguere le notifiche degli esperti di Defender dagli altri eventi imprevisti
- Riepilogo esecutivo : offre una panoramica del riepilogo dell'indagine
- Riepilogo delle raccomandazioni : elenca le azioni consigliate da Defender Experts
- Query di ricerca avanzate : elenca le query di ricerca KQL convertite usate per l'indagine
Nell'API di sicurezza di Microsoft Graph sono disponibili anche i campi seguenti:
- Endpoint grafo - https://graph.microsoft.com/beta/security/incidents
- I nomi di campo seguenti che corrispondono ai dettagli indicati in precedenza:
- displayName
- descrizione
- recommendedActions
- recommendedHuntingQueries
Nota
Questi campi saranno presto disponibili nell'endpoint Graph v1.0. Per altre informazioni, vedere API REST di Microsoft Graph v1.0
L'approccio all'utilizzo delle notifiche di Defender Experts dall'API varia a seconda del sistema downstream che si intende usare e dei requisiti specifici. Tuttavia, i passaggi seguenti sono un'implementazione di base che consente di iniziare:
A partire dagli eventi imprevisti nel API Graph
- Ottenere eventi imprevisti dall'API di sicurezza Graph.
- Verificare la presenza di nuovi eventi imprevisti in cui displayName inizia con Defender Experts.
- Continuare a leggere i campi rimanenti per tali eventi imprevisti.
- Sincronizzare le informazioni di Defender Experts Notification (DEN) nello strumento downstream , ad esempio ServiceNow.
A partire dagli avvisi nel API Graph
- Ottenere avvisi dall'API di sicurezza Graph.
- Verificare la presenza di nuovi avvisi in cui detectionSource inizia con microsoftThreatExperts.
- Cercare l'evento imprevisto corrispondente controllando incidentId elencato nell'avviso.
- Continuare a leggere i campi rimanenti per tali eventi imprevisti.
- Sincronizzare le informazioni di Defender Experts Notification (DEN) nello strumento downstream , ad esempio ServiceNow.
Passaggio successivo
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.