الترحيل من واجهة برمجة تطبيقات SIEM MDE إلى واجهة برمجة تطبيقات تنبيهات Microsoft Defender XDR
ينطبق على:
استخدام واجهة برمجة تطبيقات Microsoft Defender XDR الجديدة لجميع التنبيهات
واجهة برمجة تطبيقات تنبيهات Microsoft Defender XDR، التي تم إصدارها للمعاينة العامة في MS Graph، هي واجهة برمجة التطبيقات الرسمية والموصى بها للعملاء الذين يرحلون من واجهة برمجة تطبيقات SIEM. تمكن واجهة برمجة التطبيقات هذه العملاء من العمل مع التنبيهات عبر جميع منتجات Microsoft Defender XDR باستخدام تكامل واحد. نتوقع أن تصل واجهة برمجة التطبيقات الجديدة إلى التوفر العام (GA) بحلول Q1 CY 2023.
تم إهمال واجهة برمجة تطبيقات SIEM في 31 ديسمبر 2023. تم الإعلان عن أنه "مهمل"، ولكن ليس "متوقفا". وهذا يعني أنه حتى هذا التاريخ، تستمر واجهة برمجة تطبيقات SIEM في العمل للعملاء الحاليين. بعد تاريخ الإهمال، ستستمر واجهة برمجة تطبيقات SIEM في التوفر، ولكن سيتم دعمها فقط للإصلاحات المتعلقة بالأمان.
اعتبارا من 31 ديسمبر 2024، بعد ثلاث سنوات من إعلان الإهمال الأصلي، نحتفظ بالحق في إيقاف تشغيل واجهة برمجة تطبيقات SIEM، دون إشعار آخر.
للحصول على معلومات إضافية حول واجهات برمجة التطبيقات الجديدة، راجع إعلان المدونة: تتوفر الآن واجهات برمجة تطبيقات Microsoft Defender XDR الجديدة في Microsoft Graph في المعاينة العامة!
وثائق واجهة برمجة التطبيقات: استخدم واجهة برمجة تطبيقات أمان Microsoft Graph - Microsoft Graph
إذا كنت عميلا يستخدم واجهة برمجة تطبيقات SIEM، نوصي بشدة بتخطيط الترحيل وتنفيذه. تتضمن هذه المقالة معلومات حول الخيارات المتاحة للترحيل إلى إمكانية مدعومة:
سحب MDE التنبيهات إلى نظام خارجي (SIEM/SOAR).
استدعاء واجهة برمجة تطبيقات تنبيهات Microsoft Defender XDR مباشرة.
اقرأ عن واجهة برمجة تطبيقات التنبيهات والحوادث Microsoft Defender XDR الجديدة
سحب تنبيهات Defender لنقطة النهاية إلى نظام خارجي
إذا كنت تسحب تنبيهات Defender لنقطة النهاية إلى نظام خارجي، فهناك العديد من الخيارات المدعومة لمنح المؤسسات المرونة للعمل مع الحل الذي تختاره:
Microsoft Sentinel هو حل تنسيق وأتمتة واستجابة (SOAR) قابل للتطوير ومحل أصلي للسحابة و SIEM والأمان. يوفر تحليلات أمنية ذكية وتحليل ذكي للمخاطر عبر المؤسسة، ما يوفر حلا واحدا للكشف عن الهجمات، ورؤية التهديدات، والتتبع الاستباقي، والاستجابة للتهديدات. يتيح موصل Microsoft Defender XDR للعملاء سحب جميع حوادثهم وتنبيهاتهم بسهولة من جميع منتجات Microsoft Defender XDR. لمعرفة المزيد حول التكامل، راجع تكامل Microsoft Defender XDR مع Microsoft Sentinel.
IBM Security QRadar يوفر SIEM رؤية مركزية وتحليلات أمان ذكية لتحديد ومنع التهديدات والثغرات الأمنية من تعطيل العمليات التجارية. أعلن فريق QRadar SIEM للتو عن إصدار DSM جديد متكامل مع واجهة برمجة تطبيقات تنبيهات Microsoft Defender XDR الجديدة لسحب التنبيهات Microsoft Defender لنقطة النهاية. نرحب بالعملاء الجدد للاستفادة من DSM الجديد عند الإصدار. تعرف على المزيد حول DSM الجديد وكيفية الترحيل إليه بسهولة في Microsoft Defender XDR - وثائق IBM.
يساعد Splunk SOAR العملاء على تنسيق مهام سير العمل وأتمتة المهام في ثوان للعمل بشكل أكثر ذكاء والاستجابة بشكل أسرع. تم دمج Splunk SOAR مع واجهات برمجة تطبيقات Microsoft Defender XDR الجديدة، بما في ذلك واجهة برمجة تطبيقات التنبيهات. لمزيد من المعلومات، راجع Microsoft Defender XDR | Splunkbase
يتم سرد عمليات التكامل الأخرى في الشركاء التكنولوجيين Microsoft Defender XDR، أو اتصل بموفر SIEM / SOAR للتعرف على عمليات التكامل التي يقدمونها.
استدعاء واجهة برمجة تطبيقات تنبيهات Microsoft Defender XDR مباشرة
يوفر الجدول أدناه تعيينا بين واجهة برمجة تطبيقات SIEM إلى واجهة برمجة تطبيقات تنبيهات Microsoft Defender XDR:
| خاصية واجهة برمجة تطبيقات SIEM | تعيين | خاصية واجهة برمجة تطبيقات التنبيه Microsoft Defender XDR |
|---|---|---|
AlertTime |
-> | createdDateTime |
ComputerDnsName |
-> | evidence/deviceEvidence: deviceDnsName |
AlertTitle |
-> | title |
Category |
-> | category |
Severity |
-> | severity |
AlertId |
-> | id |
Actor |
-> | actorDisplayName |
LinkToWDATP |
-> | alertWebUrl |
IocName |
X | حقول IoC غير معتمدة |
IocValue |
X | حقول IoC غير معتمدة |
CreatorIocName |
X | حقول IoC غير معتمدة |
CreatorIocValue |
X | حقول IoC غير معتمدة |
Sha1 |
-> | evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1) |
FileName |
-> | evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName) |
FilePath |
-> | evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath) |
IPAddress |
-> | evidence/ipEvidence: ipAddress |
URL |
-> | evidence/urlEvidence: url |
IoaDefinitionId |
-> | detectorId |
UserName |
-> | evidence/userEvidence/userAccount: accountName |
AlertPart |
X | قديم (تنبيهات Defender لنقطة النهاية ذرية/كاملة قابلة للتحديث، بينما كانت واجهة برمجة تطبيقات SIEM سجلات غير قابلة للتغيير للكشف) |
FullId |
X | حقول IoC غير معتمدة |
LastProcessedTimeUtc |
-> | lastActivityDateTime |
ThreatCategory |
-> | mitreTechniques [] |
ThreatFamilyName |
-> | threatFamilyName |
ThreatName |
-> | threatDisplayName |
RemediationAction |
-> | evidence: remediationStatus |
RemediationIsSuccess |
-> | evidence: remediationStatus (implied) |
Source |
-> | detectionSource (use with serviceSource: microsoftDefenderForEndpoint) |
Md5 |
X | غير معتمد |
Sha256 |
-> | evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256) |
WasExecutingWhileDetected |
-> | evidence/processEvidence: detectionStatus |
UserDomain |
-> | evidence/userEvidence/userAccount: domainName |
LogOnUsers |
-> | evidence/deviceEvidence: loggedOnUsers [] |
MachineDomain |
-> | مضمن في evidence/deviceEvidence: deviceDnsName |
MachineName |
-> | مضمن في evidence/deviceEvidence: deviceDnsName |
InternalIPV4List |
X | غير معتمد |
InternalIPV6List |
X | غير معتمد |
FileHash |
-> | استخدام sha1 أو sha256 |
DeviceID |
-> | evidence/deviceEvidence: mdeDeviceId |
MachineGroup |
-> | evidence/deviceEvidence: rbacGroupName |
Description |
-> | description |
DeviceCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CloudCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CommandLine |
-> | evidence/processEvidence: processCommandLine |
IncidentLinkToWDATP |
-> | incidentWebUrl |
ReportId |
X | قديم (تنبيهات Defender لنقطة النهاية ذرية/كاملة قابلة للتحديث، بينما كانت واجهة برمجة تطبيقات SIEM سجلات غير قابلة للتغيير للكشف) |
LinkToMTP |
-> | alertWebUrl |
IncidentLinkToMTP |
-> | incidentWebUrl |
ExternalId |
X | عفا عليها الزمن |
IocUniqueId |
X | حقول IoC غير معتمدة |
استيعاب التنبيهات باستخدام أدوات إدارة معلومات الأمان والأحداث (SIEM)
ملاحظة
يتكون Microsoft Defender لنقطة النهاية Alert من حدث واحد أو أكثر من الأحداث المشبوهة أو الضارة التي حدثت على الجهاز وتفاصيلها ذات الصلة. واجهة برمجة تطبيقات التنبيه Microsoft Defender لنقطة النهاية هي أحدث واجهة برمجة تطبيقات لاستهلاك التنبيه وتحتوي على قائمة مفصلة بالأدلة ذات الصلة لكل تنبيه. لمزيد من المعلومات، راجع أساليب التنبيه وخصائصهوقائمة التنبيهات.
يدعم Microsoft Defender لنقطة النهاية أدوات إدارة معلومات الأمان وإدارة الأحداث (SIEM) لاستيعاب المعلومات من مستأجر المؤسسة في Microsoft Entra ID باستخدام بروتوكول مصادقة OAuth 2.0 Microsoft Entra المسجلة التطبيق الذي يمثل حل SIEM المحدد أو الموصل المثبت في بيئتك.
لمزيد من المعلومات، اطلع على:
- ترخيص واجهات برمجة التطبيقات Microsoft Defender لنقطة النهاية وشروط الاستخدام
- الوصول إلى Microsoft Defender لنقطة النهاية برمجة التطبيقات
- مثال مرحبًا بالعالم (يصف كيفية تسجيل تطبيق في Microsoft Entra ID)
- الوصول باستخدام سياق التطبيق
- تكامل Microsoft Defender XDR SIEM
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ