Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Přechod ze starší verze agenta Defender for Cloud Apps SIEM na podporovaná rozhraní API umožňuje pokračovat v přístupu k obohaceným aktivitám a datům výstrah. I když rozhraní API nemusí mít přesné mapování 1:1 na starší schéma CEF (Common Event Format), poskytují komplexní a rozšířená data prostřednictvím integrace napříč několika Microsoft Defender úlohami.
Doporučená rozhraní API pro migraci
Pokud chcete zajistit kontinuitu a přístup k datům aktuálně dostupným prostřednictvím agentů Microsoft Defender for Cloud Apps SIEM, doporučujeme přejít na následující podporovaná rozhraní API:
- Informace o upozorněních a aktivitách najdete v tématu: rozhraní API pro streamování Microsoft Defender XDR.
- Informace o událostech přihlášení Microsoft Entra ID Protection najdete v tabulce IdentityLogonEvents ve schématu rozšířeného proaktivního vyhledávání.
- Informace o rozhraní Microsoft Graph Security Alerts API najdete tady: Seznam alerts_v2
- Pokud chcete zobrazit data výstrah Microsoft Defender for Cloud Apps v rozhraní API pro incidenty Microsoft Defender XDR, projděte si téma rozhraní API pro Microsoft Defender XDR incidentů a typ prostředku incidentů.
Mapování polí ze starší verze SIEM na podporovaná rozhraní API
Následující tabulka porovnává pole CEF starší verze agenta SIEM s nejbližšími ekvivalentními poli v rozhraní API pro streamování Defender XDR (schéma událostí rozšířeného proaktivního vyhledávání) a rozhraní MICROSOFT Graph Security Alerts API.
| CEF Field (MDA SIEM) | Popis | rozhraní API pro streamování Defender XDR (CloudAppEvents/AlertEvidence/AlertInfo) | Rozhraní Graph Security Alerts API (v2) |
|---|---|---|---|
start |
Časové razítko aktivity nebo upozornění | Timestamp |
firstActivityDateTime |
end |
Časové razítko aktivity nebo upozornění | Žádné | lastActivityDateTime |
rt |
Časové razítko aktivity nebo upozornění | createdDateTime |
createdDateTime / lastUpdateDateTime / resolvedDateTime |
msg |
Popis upozornění nebo aktivity, jak je znázorněno na portálu v lidsky čitelné podobě | Nejbližší strukturovaná pole, která přispívají k podobnému popisu: actorDisplayName, ObjectName, , ActionTypeActivityType |
description |
suser |
Uživatel předmětu aktivity nebo upozornění |
AccountObjectId, AccountId, AccountDisplayName |
Zobrazit userEvidence typ prostředku |
destinationServiceName |
Aktivita nebo upozornění z původní aplikace (například SharePoint, Box) | CloudAppEvents > Application |
Zobrazit cloudApplicationEvidence typ prostředku |
cs<X>Label, cs<X> |
Dynamická pole upozornění nebo aktivity (například cílový uživatel nebo objekt) |
Entities, Evidence, additionalData, ActivityObjects |
Různé alertEvidence typy prostředků |
EVENT_CATEGORY_* |
Kategorie aktivit na vysoké úrovni | ActivityType / ActionType |
category |
<name> |
Odpovídající název zásady |
Title, alertPolicyId |
Title, alertPolicyId |
<ACTION> (Aktivity) |
Konkrétní typ aktivity | ActionType |
Není k dispozici. |
externalId (Aktivity) |
ID události | ReportId |
Není k dispozici. |
requestClientApplication (aktivity) |
Uživatelský agent klientského zařízení v aktivitách | UserAgent |
Není k dispozici. |
Dvc (aktivity) |
IP adresa klientského zařízení | IPAddress |
Není k dispozici. |
externalId (Upozornění) |
ID upozornění | AlertId |
id |
<alert type> |
Typ upozornění (například ALERT_CABINET_EVENT_MATCH_AUDI) | - | - |
Src
/
c6a1 (upozornění) |
Zdrojová IP adresa | IPAddress |
ipEvidence typ prostředku |