Migrar da API SIEM do MDE para a API de alertas de Microsoft Defender XDR

  • Artigo

Aplica-se a:

Utilizar a nova API de Microsoft Defender XDR para todos os alertas

A API de alertas de Microsoft Defender XDR, lançada para pré-visualização pública no MS Graph, é a API oficial e recomendada para os clientes que migram a partir da API SIEM. Esta API permite que os clientes trabalhem com alertas em todos os produtos Microsoft Defender XDR com uma única integração. Esperamos que a nova API atinja a disponibilidade geral (GA) até ao 1.º trimestre de 2023.

A API SIEM foi preterida a 31 de dezembro de 2023. É declarado como "preterido", mas não "reformado". Isto significa que, até esta data, a API SIEM continua a funcionar para os clientes existentes. Após a data de preterição, a API SIEM continuará disponível. No entanto, só será suportada para correções relacionadas com segurança.

A partir de 31 de dezembro de 2024, três anos após o anúncio da preterição original, reservamo-nos o direito de desativar a API SIEM, sem aviso prévio.

Para obter informações adicionais sobre as novas APIs, veja o anúncio do blogue: As novas APIs Microsoft Defender XDR no Microsoft Graph estão agora disponíveis em pré-visualização pública!

Documentação da API: Utilizar a API de segurança do Microsoft Graph – Microsoft Graph

Se for um cliente que utiliza a API SIEM, recomendamos vivamente que planeie e execute a migração. Este artigo inclui informações sobre as opções disponíveis para migrar para uma capacidade suportada:

  1. Solicitar MDE alertas para um sistema externo (SIEM/SOAR).

  2. Chamar a API de alertas de Microsoft Defender XDR diretamente.

Leia mais sobre a nova API de alertas e incidentes de Microsoft Defender XDR

Solicitar alertas do Defender para Endpoint para um sistema externo

Se estiver a solicitar alertas do Defender para Endpoint para um sistema externo, existem várias opções suportadas para dar às organizações a flexibilidade para trabalharem com a solução à sua escolha:

  1. O Microsoft Sentinel é uma solução de orquestração, automatização e resposta (SOAR) dimensionável, nativa da cloud, SIEM e Segurança. Fornece análises de segurança inteligentes e informações sobre ameaças em toda a empresa, fornecendo uma solução única para deteção de ataques, visibilidade de ameaças, investigação proativa e resposta a ameaças. O conector Microsoft Defender XDR permite que os clientes obtenham facilmente todos os incidentes e alertas de todos os produtos Microsoft Defender XDR. Para saber mais sobre a integração, veja Microsoft Defender XDR integração com o Microsoft Sentinel.

  2. QRadar de Segurança IBM O SIEM fornece visibilidade centralizada e análises de segurança inteligentes para identificar e impedir que ameaças e vulnerabilidades perturbem as operações empresariais. A equipa de SIEM do QRadar acaba de anunciar o lançamento de um novo DSM integrado com a nova API de alertas de Microsoft Defender XDR para solicitar alertas Microsoft Defender para Endpoint. Os novos clientes são bem-vindos para tirar partido do novo DSM após o lançamento. Saiba mais sobre o novo DSM e como migrar facilmente para o mesmo no Microsoft Defender XDR – Documentação da IBM.

  3. O Splunk SOAR ajuda os clientes a orquestrar fluxos de trabalho e a automatizar tarefas em segundos para trabalharem de forma mais inteligente e responderem mais rapidamente. O Splunk SOAR está integrado com as novas APIs Microsoft Defender XDR, incluindo a API de alertas. Para obter mais informações, consulte Microsoft Defender XDR | Splunkbase

Outras integrações estão listadas em Parceiros tecnológicos de Microsoft Defender XDR ou contacte o seu fornecedor SIEM/SOAR para saber mais sobre as integrações que fornecem.

Chamar a API de alertas de Microsoft Defender XDR diretamente

A tabela abaixo fornece um mapeamento entre a API SIEM para a API de alertas de Microsoft Defender XDR:

Propriedade da API SIEM Mapeamento Microsoft Defender XDR propriedade da API de alerta
AlertTime -> createdDateTime
ComputerDnsName -> evidence/deviceEvidence: deviceDnsName
AlertTitle -> title
Category -> category
Severity -> severity
AlertId -> id
Actor -> actorDisplayName
LinkToWDATP -> alertWebUrl
IocName X Campos IoC não suportados
IocValue X Campos IoC não suportados
CreatorIocName X Campos IoC não suportados
CreatorIocValue X Campos IoC não suportados
Sha1 -> evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName -> evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath -> evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress -> evidence/ipEvidence: ipAddress
URL -> evidence/urlEvidence: url
IoaDefinitionId -> detectorId
UserName -> evidence/userEvidence/userAccount: accountName
AlertPart X Obsoleto (os alertas do Defender para Endpoint são atómicos/completos que são atualizáveis, enquanto a API SIEM eram registos imutáveis de deteções)
FullId X Campos IoC não suportados
LastProcessedTimeUtc -> lastActivityDateTime
ThreatCategory -> mitreTechniques []
ThreatFamilyName -> threatFamilyName
ThreatName -> threatDisplayName
RemediationAction -> evidence: remediationStatus
RemediationIsSuccess -> evidence: remediationStatus (implied)
Source -> detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5 X Not supported
Sha256 -> evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected -> evidence/processEvidence: detectionStatus
UserDomain -> evidence/userEvidence/userAccount: domainName
LogOnUsers -> evidence/deviceEvidence: loggedOnUsers []
MachineDomain -> Incluído no evidence/deviceEvidence: deviceDnsName
MachineName -> Incluído no evidence/deviceEvidence: deviceDnsName
InternalIPV4List X Not supported
InternalIPV6List X Not supported
FileHash -> Utilizar sha1 ou sha256
DeviceID -> evidence/deviceEvidence: mdeDeviceId
MachineGroup -> evidence/deviceEvidence: rbacGroupName
Description -> description
DeviceCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CommandLine -> evidence/processEvidence: processCommandLine
IncidentLinkToWDATP -> incidentWebUrl
ReportId X Obsoleto (os alertas do Defender para Endpoint são atómicos/completos que são atualizáveis, enquanto a API SIEM eram registos imutáveis de deteções)
LinkToMTP -> alertWebUrl
IncidentLinkToMTP -> incidentWebUrl
ExternalId X Obsoleto
IocUniqueId X Campos IoC não suportados

Ingerir alertas com as ferramentas de gestão de informações e eventos de segurança (SIEM)

Nota

Microsoft Defender para Endpoint Alerta é composto por um ou mais eventos suspeitos ou maliciosos que ocorreram no dispositivo e os respetivos detalhes relacionados. A API de Alerta de Microsoft Defender para Endpoint é a API mais recente para consumo de alertas e contém uma lista detalhada de provas relacionadas para cada alerta. Para obter mais informações, veja Métodos de alerta e propriedades e Listar alertas.

Microsoft Defender para Endpoint suporta as ferramentas de gestão de informações e eventos de segurança (SIEM) que ingerem informações do inquilino da empresa no Microsoft Entra ID através do protocolo de autenticação OAuth 2.0 para uma Microsoft Entra registada aplicação que representa a solução ou conector SIEM específico instalado no seu ambiente.

Para mais informações, consulte:

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.