Få adgang til meddelelser om hændelser ved hjælp af Graph API
Gælder for:
Defender Experts Notifications er hændelser, der er genereret på baggrund af jagt udført af Defender Experts i dit miljø. De indeholder oplysninger om jagtefterforskningen og anbefalede handlinger fra Defender Experts. Du kan nu få adgang til DEN'er ved hjælp af Microsoft Graph-sikkerheds-API'en.
Bemærk
Enhver hændelse på Microsoft Defender-portalen er en samling korrelerede beskeder. Få mere at vide
Følgende oplysninger om meddelelse fra Defender Experts er tilgængelige på Microsoft Defender-portalen:
- Hændelsestitel – starter med Defender Experts for at skelne mellem Defender Experts Notifications og andre hændelser
- Resumé – giver en oversigt over undersøgelsesoversigten
- Anbefalingsoversigt – viser de anbefalede handlinger fra Defender Experts
- Avancerede jagtforespørgsler – viser de konverterede KQL-jagtforespørgsler, der bruges til undersøgelsen
I Microsoft Graph Security API er følgende felter også tilgængelige:
- Grafslutpunkt - https://graph.microsoft.com/beta/security/incidents
- Følgende feltnavne , der svarer til de tidligere nævnte oplysninger:
- Displayname
- Beskrivelse
- recommendedActions
- recommendedHuntingQueries
Bemærk
Disse felter vil snart være tilgængelige i Graph v1.0-slutpunktet. Du kan få flere oplysninger under Microsoft Graph REST API v1.0
Din tilgang til forbrug af Defender Experts Notifications fra API'en varierer afhængigt af det downstream-system, du vil bruge, og dine specifikke krav. Følgende trin er dog en grundlæggende implementering, der kan hjælpe dig med at komme i gang:
Starter fra hændelser i Graph-API'en
- Hent hændelser fra Graph Security API.
- Kontrollér, om der er nye hændelser, hvor displayName starter med Defender Experts.
- Fortsæt med at læse de resterende felter for sådanne hændelser.
- Synkroniser den-oplysningerne (Defender Experts Notification) til dit downstreamværktøj (f.eks. ServiceNow).
Starter fra beskeder i Graph-API'en
- Få beskeder fra Graph Security API.
- Kontrollér, om der er nye beskeder, hvor detectionSource starter med microsoftThreatExperts.
- Slå tilsvarende hændelse op ved at kontrollere incidentId , der er angivet i beskeden.
- Fortsæt med at læse de resterende felter for sådanne hændelser.
- Synkroniser den-oplysningerne (Defender Experts Notification) til dit downstreamværktøj (f.eks. ServiceNow).
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.