Få adgang til meddelelser om hændelser ved hjælp af Graph API

Gælder for:

• Microsoft Defender XDR

Defender Experts Notifications er hændelser, der er genereret på baggrund af jagt udført af Defender Experts i dit miljø. De indeholder oplysninger om jagtefterforskningen og anbefalede handlinger fra Defender Experts. Du kan nu få adgang til DEN'er ved hjælp af Microsoft Graph-sikkerheds-API'en.

Bemærk!

Enhver hændelse på Microsoft Defender-portalen er en samling korrelerede beskeder. Få mere at vide

Følgende oplysninger om meddelelse fra Defender Experts er tilgængelige på Microsoft Defender-portalen:

• Hændelsestitel – starter med Defender Experts for at skelne mellem Defender Experts Notifications og andre hændelser
• Resumé – giver en oversigt over undersøgelsesoversigten
• Anbefalingsoversigt – viser de anbefalede handlinger fra Defender Experts
• Avancerede jagtforespørgsler – viser de konverterede KQL-jagtforespørgsler, der bruges til undersøgelsen

I Microsoft Graph Security API er følgende felter også tilgængelige:

• Grafslutpunkt - https://graph.microsoft.com/beta/security/incidents
• Følgende feltnavne , der svarer til de tidligere nævnte oplysninger:
  • Displayname
  • Beskrivelse
  • recommendedActions
  • recommendedHuntingQueries

Bemærk!

Disse felter vil snart være tilgængelige i Graph v1.0-slutpunktet. Du kan få flere oplysninger under Microsoft Graph REST API v1.0

Din tilgang til forbrug af Defender Experts Notifications fra API'en varierer afhængigt af det downstream-system, du vil bruge, og dine specifikke krav. Følgende trin er dog en grundlæggende implementering, der kan hjælpe dig med at komme i gang:

Starter fra hændelser i Graph-API'en

1. Hent hændelser fra Graph Security API.
2. Kontrollér, om der er nye hændelser, hvor displayName starter med Defender Experts.
3. Fortsæt med at læse de resterende felter for sådanne hændelser.
4. Synkroniser den-oplysningerne (Defender Experts Notification) til dit downstreamværktøj (f.eks. ServiceNow).

Starter fra beskeder i Graph-API'en

1. Få beskeder fra Graph Security API.
2. Kontrollér, om der er nye beskeder, hvor detectionSource starter med microsoftThreatExperts.
3. Slå tilsvarende hændelse op ved at kontrollere incidentId , der er angivet i beskeden.
4. Fortsæt med at læse de resterende felter for sådanne hændelser.
5. Synkroniser den-oplysningerne (Defender Experts Notification) til dit downstreamværktøj (f.eks. ServiceNow).

Næste trin

• Samarbejd med eksperter efter behov

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.