ملاحظة
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يتيح الانتقال من عامل SIEM Defender for Cloud Apps القديم إلى واجهات برمجة التطبيقات المدعومة الوصول المستمر إلى بيانات الأنشطة والتنبيهات التي تم إثراؤها. على الرغم من أن واجهات برمجة التطبيقات قد لا تحتوي على تعيينات دقيقة من واحد إلى واحد لمخطط تنسيق الحدث الشائع (CEF) القديم، فإنها توفر بيانات شاملة ومحسنة من خلال التكامل عبر أحمال عمل Microsoft Defender متعددة.
واجهات برمجة التطبيقات الموصى بها للترحيل
لضمان الاستمرارية والوصول إلى البيانات المتوفرة حاليا من خلال Microsoft Defender for Cloud Apps وكلاء SIEM، نوصي بالانتقال إلى واجهات برمجة التطبيقات المدعومة التالية:
- للحصول على التنبيهات والأنشطة، راجع: Microsoft Defender XDR Streaming API.
- للحصول على أحداث تسجيل الدخول Microsoft Entra ID Protection، راجع جدول IdentityLogonEvents في مخطط التتبع المتقدم.
- للحصول على واجهة برمجة تطبيقات تنبيهات أمان Microsoft Graph، راجع: قائمة alerts_v2
- لعرض بيانات تنبيهات Microsoft Defender for Cloud Apps في واجهة برمجة تطبيقات الحوادث Microsoft Defender XDR، راجع واجهات برمجة تطبيقات الحوادث Microsoft Defender XDR ونوع مورد الحوادث
تعيين الحقل من SIEM القديم إلى واجهات برمجة التطبيقات المدعومة
يقارن الجدول أدناه حقول CEF لعامل SIEM القديم بأقرب الحقول المكافئة في Defender XDR Streaming API (مخطط حدث التتبع المتقدم) وواجهة برمجة تطبيقات تنبيهات أمان Microsoft Graph.
| حقل CEF (MDA SIEM) | الوصف | Defender XDR Streaming API (CloudAppEvents/AlertEvidence/AlertInfo) | واجهة برمجة تطبيقات تنبيهات أمان Graph (الإصدار 2) |
|---|---|---|---|
start |
الطابع الزمني للنشاط أو التنبيه | Timestamp |
firstActivityDateTime |
end |
الطابع الزمني للنشاط أو التنبيه | بلا | lastActivityDateTime |
rt |
الطابع الزمني للنشاط أو التنبيه | createdDateTime |
createdDateTime / lastUpdateDateTime / resolvedDateTime |
msg |
وصف التنبيه أو النشاط كما هو موضح في المدخل بتنسيق الإنسان القابل للقراءة | أقرب الحقول المنظمة التي تساهم في وصف مشابه: actorDisplayName، ، ، ObjectNameActionTypeActivityType |
description |
suser |
النشاط أو مستخدم موضوع التنبيه |
AccountObjectId, AccountId, AccountDisplayName |
راجع userEvidence نوع المورد |
destinationServiceName |
النشاط أو التنبيه من التطبيق الأصلي (على سبيل المثال، SharePoint، Box) | CloudAppEvents > Application |
راجع cloudApplicationEvidence نوع المورد |
cs<X>Label, cs<X> |
حقول ديناميكية للتنبيه أو النشاط (على سبيل المثال، المستخدم المستهدف، الكائن) |
Entities, Evidence, additionalData, ActivityObjects |
أنواع الموارد المختلفة alertEvidence |
EVENT_CATEGORY_* |
فئة النشاط عالية المستوى | ActivityType / ActionType |
category |
<name> |
اسم النهج المطابق |
Title, alertPolicyId |
Title, alertPolicyId |
<ACTION> (الأنشطة) |
نوع نشاط محدد | ActionType |
N/A |
externalId (الأنشطة) |
معرف الحدث | ReportId |
N/A |
requestClientApplication (الأنشطة) |
عامل مستخدم جهاز العميل في الأنشطة | UserAgent |
N/A |
Dvc (الأنشطة) |
عنوان IP لجهاز العميل | IPAddress |
N/A |
externalId (تنبيه) |
معرف التنبيه | AlertId |
id |
<alert type> |
نوع التنبيه (على سبيل المثال، ALERT_CABINET_EVENT_MATCH_AUDI) | - | - |
Src
/
c6a1 (تنبيهات) |
عنوان IP المصدر | IPAddress |
ipEvidence نوع المورد |