Zugreifen auf Incidentbenachrichtigungen mithilfe von Graph-API
Gilt für:
Benachrichtigungen von Defender-Experten sind Vorfälle, die bei der Suche generiert wurden, die von Defender-Experten in Ihrer Umgebung durchgeführt wurde. Sie enthalten Informationen zur Untersuchung der Suche und empfohlenen Maßnahmen, die von Defender Experts bereitgestellt werden. Sie können jetzt mithilfe der Microsoft Graph-Sicherheits-API auf DENs zugreifen.
Hinweis
Jeder Incident im Microsoft Defender-Portal ist eine Sammlung korrelierter Warnungen. Weitere Informationen
Die folgenden Benachrichtigungsdetails für Defender-Experten sind im Microsoft Defender-Portal verfügbar:
- Incidenttitel – beginnt mit Defender-Experten , um Defender Experts-Benachrichtigungen von anderen Vorfällen zu unterscheiden
- Zusammenfassung : Enthält eine Übersicht über die Untersuchungszusammenfassung.
- Empfehlungszusammenfassung : Listet die empfohlenen Aktionen von Defender-Experten auf.
- Erweiterte Suchabfragen : Listet die konvertierten KQL-Huntingabfragen auf, die für die Untersuchung verwendet werden.
In der Microsoft Graph-Sicherheits-API sind auch die folgenden Felder verfügbar:
- Graphendpunkt - https://graph.microsoft.com/beta/security/incidents
- Die folgenden Feldnamen , die den oben erwähnten Details entsprechen:
- displayName
- description
- recommendedActions
- recommendedHuntingQueries
Hinweis
Diese Felder werden in Kürze im Graph v1.0-Endpunkt verfügbar sein. Weitere Informationen finden Sie unter Microsoft Graph-REST-API v1.0.
Ihr Ansatz für die Nutzung von Defender Experts-Benachrichtigungen über die API variiert je nach downstreamem System, das Sie verwenden möchten, und Ihren spezifischen Anforderungen. Die folgenden Schritte sind jedoch eine grundlegende Implementierung, die Ihnen beim Einstieg hilft:
Ausgehend von Vorfällen im Graph-API
- Rufen Sie Incidents über die Graph-Sicherheits-API ab.
- Suchen Sie mit Defender Experts nach neuen Vorfällen, bei denen displayName beginnt.
- Lesen Sie die verbleibenden Felder für solche Vorfälle weiter.
- Synchronisieren Sie die Defender Experts Notification (DEN)-Informationen mit Ihrem downstream-Tool (z. B. ServiceNow).
Ausgehend von Warnungen im Graph-API
- Rufen Sie Warnungen von der Graph-Sicherheits-API ab.
- Suchen Sie nach neuen Warnungen, bei denen detectionSource mit microsoftThreatExperts beginnt.
- Suchen Sie nach dem entsprechenden Incident, indem Sie incidentId überprüfen, die in der Warnung aufgeführt ist.
- Lesen Sie die verbleibenden Felder für solche Vorfälle weiter.
- Synchronisieren Sie die Defender Experts Notification (DEN)-Informationen mit Ihrem downstream-Tool (z. B. ServiceNow).
Nächster Schritt
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für