Přístup k oznámením incidentů pomocí Graph API

Platí pro:

• Microsoft Defender XDR

Oznámení expertů programu Defender jsou incidenty, které byly generovány z vyhledávání prováděného odborníky programu Defender ve vašem prostředí. Obsahují informace týkající se vyšetřování proaktivního vyhledávání a doporučených akcí poskytovaných odborníky na Defender. K sítím DEN teď můžete přistupovat pomocí rozhraní MICROSOFT Graph SECURITY API.

Poznámka

Každý incident na portálu Microsoft Defender je kolekce korelačních výstrah. Další informace

Na portálu Microsoft Defender jsou k dispozici následující podrobnosti oznámení expertů programu Defender:

• Název incidentu – začíná u expertů programu Defender , aby se odlišily oznámení odborníků programu Defender od jiných incidentů.
• Shrnutí – poskytuje přehled souhrnu šetření.
• Souhrn doporučení – seznam doporučených akcí od odborníků na Defender
• Rozšířené dotazy proaktivního vyhledávání – zobrazí seznam převedených dotazů proaktivního vyhledávání KQL použitých pro šetření.

V rozhraní Microsoft Graph Security API jsou k dispozici také následující pole:

• Koncový bod grafu - https://graph.microsoft.com/beta/security/incidents
• Následující názvy polí , které odpovídají výše uvedeným podrobnostem:
  • displayName
  • description
  • recommendedActions
  • recommendedHuntingQueries

Poznámka

Tato pole budou brzy k dispozici v koncovém bodu Graphu verze 1.0. Další informace najdete v tématu Microsoft Graph REST API v1.0.

Váš přístup ke využívání oznámení expertů programu Defender z rozhraní API se bude lišit v závislosti na podřízenému systému, který chcete použít, a vašich konkrétních požadavcích. Následující kroky jsou ale základní implementací, která vám pomůže začít:

Počínaje incidenty v Graph API

1. Získejte incidenty z rozhraní Graph Security API.
2. Zkontrolujte nové incidenty, ve kterých začíná displayName , u odborníků na Defender.
3. Pokračujte ve čtení zbývajících polí pro tyto incidenty.
4. Synchronizujte informace o oznámeních expertů defenderu (DEN) do podřízeného nástroje (například ServiceNow).

Počínaje výstrahami v Graph API

1. Získejte upozornění z rozhraní Graph Security API.
2. Zkontrolujte nová upozornění, kde detectionSource začíná na microsoftThreatExperts.
3. Vyhledejte odpovídající incident tak, že zkontrolujete id incidentu uvedené ve výstraze.
4. Pokračujte ve čtení zbývajících polí pro tyto incidenty.
5. Synchronizujte informace o oznámeních expertů defenderu (DEN) do podřízeného nástroje (například ServiceNow).

Další krok

• Spolupráce s odborníky na vyžádání

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.