Обзор управления и интерфейсов API

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Defender для конечной точки поддерживает широкий спектр вариантов, чтобы клиенты могли легко внедрить платформу.

Учитывая, что среды и структуры клиентов могут отличаться, Defender для конечной точки был создан с гибкостью и детальным контролем в соответствии с различными требованиями клиентов.

Подключение к конечной точке и доступ к порталу

Подключение устройств полностью интегрировано в Microsoft Configuration Manager и Microsoft Intune для клиентских устройств и Microsoft Defender для серверных устройств, обеспечивая полный комплексный опыт настройки, развертывания и мониторинга. Кроме того, Microsoft Defender для конечной точки поддерживает групповая политика и другие сторонние средства, используемые для управления устройствами.

Defender для конечной точки обеспечивает точный контроль над тем, что пользователи с доступом к порталу могут видеть и делать, благодаря гибкости управления доступом на основе ролей (RBAC). Модель RBAC поддерживает все разновидности структуры групп безопасности:

  • Глобально распределенные организации и группы безопасности
  • Группы по обеспечению безопасности многоуровневой модели
  • Полностью сегрегированные подразделения с едиными централизованными группами по обеспечению безопасности

Доступные API

Решение Microsoft Defender для конечной точки основано на платформе, готовой к интеграции.

Defender для конечной точки предоставляет большую часть своих данных и действий с помощью набора программных API. Эти API-интерфейсы позволяют автоматизировать рабочие процессы и внедрять инновации на основе возможностей Defender для конечной точки.

Доступный API и интеграция в Microsoft Defender для конечной точки

API Defender для конечной точки можно сгруппировать в три:

  • API Microsoft Defender для конечной точки
  • API потоковой передачи необработанных данных
  • Интеграция SIEM

API Microsoft Defender для конечной точки

Defender для конечной точки предлагает многоуровневую модель API, предоставляющую данные и возможности в структурированной, понятной и простой в использовании модели, предоставляемой через стандартную модель проверки подлинности и авторизации на основе Azure AD, предоставляющую доступ в контексте пользователей или приложений SaaS. Модель API предназначена для предоставления сущностей и возможностей в согласованной форме.

Просмотрите это видео, чтобы просмотреть краткий обзор API Defender для конечной точки.

API исследования предоставляет широкие возможности Defender для конечной точки , предоставляя вычисляемые или профилированные сущности (например, устройства, пользователя и файла) и дискретные события (например, создание процесса и создание файлов), которые обычно описывают поведение, связанное с сущностью, предоставляя доступ к данным через интерфейсы исследования, предоставляющие доступ к данным на основе запросов. Дополнительные сведения см. в разделе Поддерживаемые API.

API ответа предоставляет возможность выполнять действия в службе и на устройствах, позволяя клиентам принимать индикаторы, управлять параметрами, состоянием оповещений, а также выполнять действия по реагированию на устройствах программным способом, например изолировать устройства от сети, помещать в карантин файлы и т. д.

API потоковой передачи необработанных данных

API потоковой передачи необработанных данных Defender для конечной точки позволяет клиентам отправлять события и оповещения в режиме реального времени из своих экземпляров по мере их возникновения в одном потоке данных, обеспечивая механизм доставки с низкой задержкой и высокой пропускной способностью.

Сведения о событиях Defender для конечной точки передаются непосредственно в хранилище Azure для долгосрочного хранения данных или в Центры событий Azure для использования службами визуализации или дополнительными обработчиками обработки данных.

Дополнительные сведения см. в разделе API потоковой передачи необработанных данных.

Новый API потоковой передачи Microsoft Defender XDR включает в себя события электронной почты и оповещений в дополнение к событиям устройства. Дополнительные сведения см. в разделе API потоковой передачи Microsoft Defender XDR.

SIEM API

Включение интеграции с информационной безопасностью и событиями безопасности (SIEM) позволяет извлекать обнаружения из Microsoft Defender XDR с помощью решения SIEM или путем прямого подключения к REST API обнаружения. Это активирует раздел сведений о доступе к соединителю SIEM с предварительно заполненными значениями, и приложение создается в клиенте Microsoft Entra.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.