Overfør fra MDE SIEM-API til API'en for Microsoft Defender XDR beskeder
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Brug den nye API til Microsoft Defender XDR til alle dine beskeder
API'en til Microsoft Defender XDR beskeder, der udgives til offentlig prøveversion i MS Graph, er den officielle og anbefalede API til kunder, der migrerer fra SIEM-API'en. Denne API gør det muligt for kunder at arbejde med beskeder på tværs af alle Microsoft Defender XDR produkter ved hjælp af en enkelt integration. Vi forventer, at den nye API når offentlig tilgængelighed inden Q1 CY 2023.
SIEM-API'en frarådes den 31. december 2023. Det er erklæret som "frarådes", men ikke "pensioneret". Det betyder, at SIEM-API'en indtil denne dato fortsat fungerer for eksisterende kunder. Efter udfasningsdatoen vil SIEM-API'en fortsat være tilgængelig, men den understøttes kun for sikkerhedsrelaterede rettelser.
Fra og med den 31. december 2024, tre år efter den oprindelige meddelelse om udfasning, forbeholder vi os ret til at slå SIEM-API'en fra uden yderligere varsel.
Du kan finde flere oplysninger om de nye API'er i blogmeddelelsen: De nye Microsoft Defender XDR API'er i Microsoft Graph er nu tilgængelige som offentlig prøveversion!
API-dokumentation: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph
Hvis du er kunde, der bruger SIEM-API'en, anbefaler vi på det kraftigste, at du planlægger og udfører migreringen. Denne artikel indeholder oplysninger om de indstillinger, der er tilgængelige for overførsel til en understøttet funktion:
Trække MDE beskeder til et eksternt system (SIEM/SOAR).
Læs om api'en for nye Microsoft Defender XDR beskeder og hændelser
Trækker Defender for Endpoint-beskeder til et eksternt system
Hvis du trækker Defender for Endpoint-beskeder til et eksternt system, er der flere understøttede muligheder for at give organisationer fleksibiliteten til at arbejde med løsningen efter eget valg:
Microsoft Sentinel er en skalerbar SOAR-løsning (cloudbaseret, SIEM- og Sikkerhedsorkestrering, automatisering og svar). Leverer intelligent sikkerhedsanalyse og trusselsintelligens på tværs af virksomheden, hvilket giver en enkelt løsning til registrering af angreb, trusselssynlighed, proaktiv jagt og trusselssvar. Med Microsoft Defender XDR-connectoren kan kunderne nemt hente alle deres hændelser og beskeder fra alle Microsoft Defender XDR produkter. Hvis du vil vide mere om integrationen, skal du se Microsoft Defender XDR integration med Microsoft Sentinel.
IBM Security QRadar SIEM giver central synlighed og intelligent sikkerhedsanalyse til at identificere og forhindre trusler og sårbarheder i at afbryde forretningshandlinger. QRadar SIEM-teamet har netop annonceret udgivelsen af en ny DSM, der er integreret med den nye API til Microsoft Defender XDR-beskeder for at hente Microsoft Defender for Endpoint beskeder ind. Nye kunder er velkomne til at drage fordel af den nye DSM ved udgivelsen. Få mere at vide om den nye DSM, og hvordan du nemt kan migrere til den på Microsoft Defender XDR – IBM-dokumentation.
Splunk SOAR hjælper kunderne med at orkestrere arbejdsprocesser og automatisere opgaver på få sekunder for at arbejde smartere og reagere hurtigere. Splunk SOAR er integreret med de nye API'er til Microsoft Defender XDR, herunder BESKED-API'en. Du kan få flere oplysninger under Microsoft Defender XDR | Splunkbase
Andre integrationer er angivet i Teknologiske partnere i Microsoft Defender XDR, eller kontakt din SIEM-/SOAR-udbyder for at få mere at vide om de integrationer, de leverer.
Kald af API'en til Microsoft Defender XDR-beskeder direkte
Nedenstående tabel indeholder en tilknytning mellem SIEM-API'en til API'en for Microsoft Defender XDR beskeder:
EGENSKABEN SIEM API | Kortlægning | API-egenskab for Microsoft Defender XDR vigtig besked |
---|---|---|
AlertTime |
-> | createdDateTime |
ComputerDnsName |
-> | evidence/deviceEvidence: deviceDnsName |
AlertTitle |
-> | title |
Category |
-> | category |
Severity |
-> | severity |
AlertId |
-> | id |
Actor |
-> | actorDisplayName |
LinkToWDATP |
-> | alertWebUrl |
IocName |
X | IoC-felter understøttes ikke |
IocValue |
X | IoC-felter understøttes ikke |
CreatorIocName |
X | IoC-felter understøttes ikke |
CreatorIocValue |
X | IoC-felter understøttes ikke |
Sha1 |
-> | evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1) |
FileName |
-> | evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName) |
FilePath |
-> | evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath) |
IPAddress |
-> | evidence/ipEvidence: ipAddress |
URL |
-> | evidence/urlEvidence: url |
IoaDefinitionId |
-> | detectorId |
UserName |
-> | evidence/userEvidence/userAccount: accountName |
AlertPart |
X | Forældet (Defender for Endpoint-beskeder er atomiske/komplette, der kan opdateres, mens SIEM-API'en var uforanderlige registreringsposter) |
FullId |
X | IoC-felter understøttes ikke |
LastProcessedTimeUtc |
-> | lastActivityDateTime |
ThreatCategory |
-> | mitreTechniques [] |
ThreatFamilyName |
-> | threatFamilyName |
ThreatName |
-> | threatDisplayName |
RemediationAction |
-> | evidence: remediationStatus |
RemediationIsSuccess |
-> | evidence: remediationStatus (implied) |
Source |
-> | detectionSource (use with serviceSource: microsoftDefenderForEndpoint) |
Md5 |
X | Understøttes ikke |
Sha256 |
-> | evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256) |
WasExecutingWhileDetected |
-> | evidence/processEvidence: detectionStatus |
UserDomain |
-> | evidence/userEvidence/userAccount: domainName |
LogOnUsers |
-> | evidence/deviceEvidence: loggedOnUsers [] |
MachineDomain |
-> | Inkluderet i evidence/deviceEvidence: deviceDnsName |
MachineName |
-> | Inkluderet i evidence/deviceEvidence: deviceDnsName |
InternalIPV4List |
X | Understøttes ikke |
InternalIPV6List |
X | Understøttes ikke |
FileHash |
-> | Brug sha1 eller sha256 |
DeviceID |
-> | evidence/deviceEvidence: mdeDeviceId |
MachineGroup |
-> | evidence/deviceEvidence: rbacGroupName |
Description |
-> | description |
DeviceCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CloudCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CommandLine |
-> | evidence/processEvidence: processCommandLine |
IncidentLinkToWDATP |
-> | incidentWebUrl |
ReportId |
X | Forældet (Defender for Endpoint-beskeder er atomiske/komplette, der kan opdateres, mens SIEM-API'en var uforanderlige registreringsposter) |
LinkToMTP |
-> | alertWebUrl |
IncidentLinkToMTP |
-> | incidentWebUrl |
ExternalId |
X | Forældet |
IocUniqueId |
X | IoC-felter understøttes ikke |
Indfødning af beskeder ved hjælp af SIEM-værktøjer (Security Information And Events Management)
Bemærk!
Microsoft Defender for Endpoint Besked består af en eller flere mistænkelige eller skadelige hændelser, der opstod på enheden, og deres relaterede oplysninger. API'en til Microsoft Defender for Endpoint vigtig besked er den seneste API til forbrug af beskeder og indeholder en detaljeret liste over relaterede beviser for hver besked. Du kan få flere oplysninger under Metoder og egenskaber for beskeder og Listebeskeder.
Microsoft Defender for Endpoint understøtter SIEM-værktøjer (security information and event management), der henter oplysninger fra din virksomhedslejer i Microsoft Entra ID ved hjælp af OAuth 2.0-godkendelsesprotokollen for en registreret Microsoft Entra program, der repræsenterer den specifikke SIEM-løsning eller -connector, der er installeret i dit miljø.
Du kan finde flere oplysninger under:
- licens til Microsoft Defender for Endpoint API'er og vilkår for anvendelse
- Få adgang til Microsoft Defender for Endpoint API'er
- Hello World eksempel (beskriver, hvordan du registrerer et program i Microsoft Entra ID)
- Få adgang med programkontekst
- Microsoft Defender XDR SIEM-integration
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.