Миграция с API SIEM MDE на API оповещений Microsoft Defender XDR

Область применения:

Использование нового API Microsoft Defender XDR для всех оповещений

API оповещений Microsoft Defender XDR, выпущенный в общедоступной предварительной версии в MS Graph, — это официальный и рекомендуемый API для клиентов, которые переходили с API SIEM. Этот API позволяет клиентам работать с оповещениями во всех продуктах Microsoft Defender XDR с помощью единой интеграции. Мы ожидаем, что к 1 кварталу 2023 г. новый API достигнет общедоступной доступности.

API SIEM был устарел 31 декабря 2023 г. Он объявлен "нерекомендуемый", но не "снят с учета". Это означает, что до этой даты API SIEM продолжает работать для существующих клиентов. После даты прекращения использования API SIEM будет по-прежнему доступен, однако он будет поддерживаться только для исправлений, связанных с безопасностью.

Начиная с 31 декабря 2024 г., через три года после первоначального объявления об устаревании, мы оставляем за собой право отключить API SIEM без дальнейшего уведомления.

Дополнительные сведения о новых API см. в объявлении блога: Новые API Microsoft Defender XDR в Microsoft Graph теперь доступны в общедоступной предварительной версии.

Документация по API. Использование API безопасности Microsoft Graph — Microsoft Graph

Если вы являетесь клиентом, использующим API SIEM, настоятельно рекомендуется планировать и выполнять миграцию. В этой статье содержатся сведения о параметрах, доступных для перехода на поддерживаемую возможность:

  1. Извлечение оповещений MDE во внешнюю систему (SIEM/SOAR).

  2. Вызов API оповещений Microsoft Defender XDR напрямую.

Узнайте о новом API оповещений и инцидентов Microsoft Defender XDR.

Извлечение оповещений Defender для конечной точки во внешнюю систему

Если вы извлекаете оповещения Defender для конечной точки во внешнюю систему, существует несколько поддерживаемых вариантов, которые позволяют организациям гибко работать с решением по своему выбору:

  1. Microsoft Sentinel — это масштабируемое облачное решение ДЛЯ оркестрации, автоматизации и реагирования (SOAR) SIEM и безопасности. Предоставляет интеллектуальную аналитику безопасности и аналитику угроз на предприятии, предоставляя единое решение для обнаружения атак, видимости угроз, упреждающей охоты и реагирования на угрозы. Соединитель Microsoft Defender XDR позволяет клиентам легко получать все инциденты и оповещения из всех продуктов Microsoft Defender XDR. Дополнительные сведения об интеграции см. в статье Microsoft Defender XDR интеграции с Microsoft Sentinel.

  2. IBM Security QRadar SIEM обеспечивает централизованную видимость и интеллектуальную аналитику безопасности для выявления и предотвращения угроз и уязвимостей, нарушающих бизнес-операции. Команда QRadar SIEM только что объявила о выпуске новой DSM, интегрированной с новым API оповещений Microsoft Defender XDR для извлечения оповещений Microsoft Defender для конечной точки. Новые клиенты могут воспользоваться преимуществами новой DSM после выпуска. Дополнительные сведения о новой DSM и о том, как легко выполнить миграцию на нее, см. в документации по IBM Microsoft Defender XDR.

  3. Splunk SOAR помогает клиентам управлять рабочими процессами и автоматизировать задачи за считанные секунды, чтобы работать интеллектуально и быстрее реагировать. Splunk SOAR интегрирован с новыми API Microsoft Defender XDR, включая API оповещений. Дополнительные сведения см. в разделе Microsoft Defender XDR | Splunkbase

Другие интеграции перечислены в разделе Технологические партнеры Microsoft Defender XDR или обратитесь к поставщику SIEM/SOAR, чтобы узнать об интеграции, которые они предоставляют.

Вызов API оповещений Microsoft Defender XDR напрямую

В приведенной ниже таблице представлено сопоставление МЕЖДУ API SIEM и API оповещений Microsoft Defender XDR:

Свойство API SIEM Сопоставление свойство API оповещений Microsoft Defender XDR
AlertTime -> createdDateTime
ComputerDnsName -> evidence/deviceEvidence: deviceDnsName
AlertTitle -> title
Category -> category
Severity -> severity
AlertId -> id
Actor -> actorDisplayName
LinkToWDATP -> alertWebUrl
IocName X Поля IoC не поддерживаются
IocValue X Поля IoC не поддерживаются
CreatorIocName X Поля IoC не поддерживаются
CreatorIocValue X Поля IoC не поддерживаются
Sha1 -> evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName -> evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath -> evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress -> evidence/ipEvidence: ipAddress
URL -> evidence/urlEvidence: url
IoaDefinitionId -> detectorId
UserName -> evidence/userEvidence/userAccount: accountName
AlertPart X Устарело (оповещения Defender для конечной точки являются атомарными или полными, обновляемыми, в то время как API SIEM были неизменяемыми записями обнаружения)
FullId X Поля IoC не поддерживаются
LastProcessedTimeUtc -> lastActivityDateTime
ThreatCategory -> mitreTechniques []
ThreatFamilyName -> threatFamilyName
ThreatName -> threatDisplayName
RemediationAction -> evidence: remediationStatus
RemediationIsSuccess -> evidence: remediationStatus (implied)
Source -> detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5 X Не поддерживается
Sha256 -> evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected -> evidence/processEvidence: detectionStatus
UserDomain -> evidence/userEvidence/userAccount: domainName
LogOnUsers -> evidence/deviceEvidence: loggedOnUsers []
MachineDomain -> Включено в evidence/deviceEvidence: deviceDnsName
MachineName -> Включено в evidence/deviceEvidence: deviceDnsName
InternalIPV4List X Не поддерживается
InternalIPV6List X Не поддерживается
FileHash -> Используйте sha1 или sha256
DeviceID -> evidence/deviceEvidence: mdeDeviceId
MachineGroup -> evidence/deviceEvidence: rbacGroupName
Description -> description
DeviceCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CommandLine -> evidence/processEvidence: processCommandLine
IncidentLinkToWDATP -> incidentWebUrl
ReportId X Устарело (оповещения Defender для конечной точки являются атомарными или полными, обновляемыми, в то время как API SIEM были неизменяемыми записями обнаружения)
LinkToMTP -> alertWebUrl
IncidentLinkToMTP -> incidentWebUrl
ExternalId X Obsolete
IocUniqueId X Поля IoC не поддерживаются

Прием оповещений с помощью средств управления информационной безопасностью и событиями безопасности (SIEM)

Примечание.

Microsoft Defender для конечной точки оповещение состоит из одного или нескольких подозрительных или вредоносных событий, произошедших на устройстве, и их связанных сведений. API оповещений Microsoft Defender для конечной точки является последним API для потребления оповещений и содержит подробный список связанных доказательств для каждого оповещения. Дополнительные сведения см. в разделах Методы и свойства оповещений и Список оповещений.

Microsoft Defender для конечной точки поддерживает средства управления информационной безопасностью и событиями безопасности (SIEM), которые в Microsoft Entra ID используют протокол проверки подлинности OAuth 2.0 для зарегистрированного Microsoft Entra приложение, представляющее конкретное решение SIEM или соединитель, установленный в вашей среде.

Дополнительные сведения см. в разделе:

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.