Zugreifen auf Incidentbenachrichtigungen mithilfe von Graph-API

Gilt für:

• Microsoft Defender XDR

Benachrichtigungen von Defender-Experten sind Vorfälle, die bei der Suche generiert wurden, die von Defender-Experten in Ihrer Umgebung durchgeführt wurde. Sie enthalten Informationen zur Untersuchung der Suche und empfohlenen Maßnahmen, die von Defender Experts bereitgestellt werden. Sie können jetzt mithilfe der Microsoft Graph-Sicherheits-API auf DENs zugreifen.

Hinweis

Jeder Incident im Microsoft Defender-Portal ist eine Sammlung korrelierter Warnungen. Weitere Informationen

Die folgenden Benachrichtigungsdetails für Defender-Experten sind im Microsoft Defender-Portal verfügbar:

• Incidenttitel – beginnt mit Defender-Experten , um Defender Experts-Benachrichtigungen von anderen Vorfällen zu unterscheiden
• Zusammenfassung : Enthält eine Übersicht über die Untersuchungszusammenfassung.
• Empfehlungszusammenfassung : Listet die empfohlenen Aktionen von Defender-Experten auf.
• Erweiterte Suchabfragen : Listet die konvertierten KQL-Huntingabfragen auf, die für die Untersuchung verwendet werden.

In der Microsoft Graph-Sicherheits-API sind auch die folgenden Felder verfügbar:

• Graphendpunkt - https://graph.microsoft.com/beta/security/incidents
• Die folgenden Feldnamen , die den oben erwähnten Details entsprechen:
  • displayName
  • description
  • recommendedActions
  • recommendedHuntingQueries

Hinweis

Diese Felder werden in Kürze im Graph v1.0-Endpunkt verfügbar sein. Weitere Informationen finden Sie unter Microsoft Graph-REST-API v1.0.

Ihr Ansatz für die Nutzung von Defender Experts-Benachrichtigungen über die API variiert je nach downstreamem System, das Sie verwenden möchten, und Ihren spezifischen Anforderungen. Die folgenden Schritte sind jedoch eine grundlegende Implementierung, die Ihnen beim Einstieg hilft:

Ausgehend von Vorfällen im Graph-API

1. Rufen Sie Incidents über die Graph-Sicherheits-API ab.
2. Suchen Sie mit Defender Experts nach neuen Vorfällen, bei denen displayName beginnt.
3. Lesen Sie die verbleibenden Felder für solche Vorfälle weiter.
4. Synchronisieren Sie die Defender Experts Notification (DEN)-Informationen mit Ihrem downstream-Tool (z. B. ServiceNow).

Ausgehend von Warnungen im Graph-API

1. Rufen Sie Warnungen von der Graph-Sicherheits-API ab.
2. Suchen Sie nach neuen Warnungen, bei denen detectionSource mit microsoftThreatExperts beginnt.
3. Suchen Sie nach dem entsprechenden Incident, indem Sie incidentId überprüfen, die in der Warnung aufgeführt ist.
4. Lesen Sie die verbleibenden Felder für solche Vorfälle weiter.
5. Synchronisieren Sie die Defender Experts Notification (DEN)-Informationen mit Ihrem downstream-Tool (z. B. ServiceNow).

Nächster Schritt

• Zusammenarbeit mit Experten bei Bedarf

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.