Migrera från MDE SIEM-API:et till API:et för Microsoft Defender XDR-aviseringar

Gäller för:

Använd det nya Microsoft Defender XDR-API:et för alla aviseringar

API:et för Microsoft Defender XDR-aviseringar, som släpps till offentlig förhandsversion i MS Graph, är det officiella och rekommenderade API:et för kunder som migrerar från SIEM-API:et. Med det här API:et kan kunder arbeta med aviseringar i alla Microsoft Defender XDR produkter med hjälp av en enda integrering. Vi förväntar oss att det nya API:et når allmän tillgänglighet (GA) under första kvartalet 2023.

SIEM-API:et blev inaktuellt den 31 december 2023. Den förklaras vara "inaktuell", men inte "pensionerad". Det innebär att SIEM-API:et fortsätter att fungera för befintliga kunder fram till det här datumet. Efter utfasningsdatumet fortsätter SIEM-API:et att vara tillgängligt, men det stöds bara för säkerhetsrelaterade korrigeringar.

Från och med den 31 december 2024, tre år efter det ursprungliga utfasningsmeddelandet, förbehåller vi oss rätten att stänga av SIEM-API:et utan ytterligare meddelande.

Mer information om de nya API:erna finns i bloggmeddelandet: De nya Microsoft Defender XDR-API:erna i Microsoft Graph är nu tillgängliga i offentlig förhandsversion!

API-dokumentation: Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph

Om du är en kund som använder SIEM-API:et rekommenderar vi starkt att du planerar och utför migreringen. Den här artikeln innehåller information om de alternativ som är tillgängliga för migrering till en funktion som stöds:

  1. Dra MDE aviseringar till ett externt system (SIEM/SOAR).

  2. Anropa API:et för Microsoft Defender XDR-aviseringar direkt.

Läs mer om de nya Microsoft Defender XDR-aviseringarna och incident-API:et

Hämta Defender för Endpoint-aviseringar till ett externt system

Om du hämtar Defender för Endpoint-aviseringar till ett externt system finns det flera alternativ som stöds för att ge organisationer flexibiliteten att arbeta med valfri lösning:

  1. Microsoft Sentinel är en skalbar, molnbaserad, SIEM- och säkerhetsorkestreringslösning, automatisering och svarslösning (SOAR). Levererar intelligent säkerhetsanalys och hotinformation i hela företaget, vilket ger en enda lösning för identifiering av attacker, hotsynlighet, proaktiv jakt och hotsvar. Med Microsoft Defender XDR-anslutningsappen kan kunderna enkelt dra in alla sina incidenter och aviseringar från alla Microsoft Defender XDR produkter. Mer information om integrering finns i Microsoft Defender XDR integrering med Microsoft Sentinel.

  2. IBM Security QRadar SIEM ger centraliserad synlighet och intelligent säkerhetsanalys för att identifiera och förhindra att hot och sårbarheter stör verksamheten. QRadar SIEM-teamet har just meddelat lanseringen av en ny DSM som är integrerad med det nya api:et Microsoft Defender XDR aviseringar för att hämta Microsoft Defender för Endpoint aviseringar. Nya kunder är välkomna att dra nytta av den nya DSM vid lanseringen. Läs mer om den nya DSM och hur du enkelt migrerar till den på Microsoft Defender XDR – IBM-dokumentation.

  3. Splunk SOAR hjälper kunder att orkestrera arbetsflöden och automatisera uppgifter på några sekunder för att arbeta smartare och svara snabbare. Splunk SOAR är integrerat med de nya Microsoft Defender XDR-API:erna, inklusive aviserings-API:et. Mer information finns i Microsoft Defender XDR | Splunkbase

Andra integreringar listas i Tekniska partner i Microsoft Defender XDR, eller kontakta siem/SOAR-providern för att lära dig mer om integreringar som de tillhandahåller.

Anropa API:et för Microsoft Defender XDR-aviseringar direkt

Tabellen nedan innehåller en mappning mellan SIEM-API:et till API:et för Microsoft Defender XDR-aviseringar:

SIEM API-egenskap Mappning Microsoft Defender XDR aviserings-API-egenskap
AlertTime -> createdDateTime
ComputerDnsName -> evidence/deviceEvidence: deviceDnsName
AlertTitle -> title
Category -> category
Severity -> severity
AlertId -> id
Actor -> actorDisplayName
LinkToWDATP -> alertWebUrl
IocName X IoC-fält stöds inte
IocValue X IoC-fält stöds inte
CreatorIocName X IoC-fält stöds inte
CreatorIocValue X IoC-fält stöds inte
Sha1 -> evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName -> evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath -> evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress -> evidence/ipEvidence: ipAddress
URL -> evidence/urlEvidence: url
IoaDefinitionId -> detectorId
UserName -> evidence/userEvidence/userAccount: accountName
AlertPart X Föråldrad (Defender för Endpoint-aviseringar är atomiska/fullständiga som är uppdateringsbara, medan SIEM-API:et var oföränderliga identifieringsposter)
FullId X IoC-fält stöds inte
LastProcessedTimeUtc -> lastActivityDateTime
ThreatCategory -> mitreTechniques []
ThreatFamilyName -> threatFamilyName
ThreatName -> threatDisplayName
RemediationAction -> evidence: remediationStatus
RemediationIsSuccess -> evidence: remediationStatus (implied)
Source -> detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5 X Stöds inte
Sha256 -> evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected -> evidence/processEvidence: detectionStatus
UserDomain -> evidence/userEvidence/userAccount: domainName
LogOnUsers -> evidence/deviceEvidence: loggedOnUsers []
MachineDomain -> Ingår i evidence/deviceEvidence: deviceDnsName
MachineName -> Ingår i evidence/deviceEvidence: deviceDnsName
InternalIPV4List X Stöds inte
InternalIPV6List X Stöds inte
FileHash -> Använd sha1 eller sha256
DeviceID -> evidence/deviceEvidence: mdeDeviceId
MachineGroup -> evidence/deviceEvidence: rbacGroupName
Description -> description
DeviceCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CommandLine -> evidence/processEvidence: processCommandLine
IncidentLinkToWDATP -> incidentWebUrl
ReportId X Föråldrad (Defender för Endpoint-aviseringar är atomiska/fullständiga som är uppdateringsbara, medan SIEM-API:et var oföränderliga identifieringsposter)
LinkToMTP -> alertWebUrl
IncidentLinkToMTP -> incidentWebUrl
ExternalId X Föråldrade
IocUniqueId X IoC-fält stöds inte

Mata in aviseringar med hjälp av SIEM-verktyg (security information and events management)

Obs!

Microsoft Defender för Endpoint Avisering består av en eller flera misstänkta eller skadliga händelser som inträffat på enheten och deras relaterade information. API:et Microsoft Defender för Endpoint Alert är det senaste API:et för aviseringsförbrukning och innehåller en detaljerad lista över relaterade bevis för varje avisering. Mer information finns i Aviseringsmetoder och egenskaper och Listaviseringar.

Microsoft Defender för Endpoint stöder SIEM-verktyg (säkerhetsinformation och händelsehantering) som matar in information från företagsklientorganisationen i Microsoft Entra ID med hjälp av OAuth 2.0-autentiseringsprotokollet för en registrerad Microsoft Entra program som representerar den specifika SIEM-lösningen eller anslutningsappen som är installerad i din miljö.

Mer information finns i:

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.