Compartir a través de


Introducción a la administración y las API

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Defender para punto de conexión admite una amplia variedad de opciones para garantizar que los clientes puedan adoptar fácilmente la plataforma.

Al reconocer que los entornos y estructuras de los clientes pueden variar, Se creó Defender para punto de conexión con flexibilidad y control granular para ajustarse a los distintos requisitos del cliente.

Incorporación de puntos de conexión y acceso al portal

La incorporación de dispositivos está totalmente integrada en Microsoft Configuration Manager y Microsoft Intune para dispositivos cliente y Microsoft Defender para dispositivos de servidor, lo que proporciona una experiencia completa de configuración, implementación y supervisión. Además, Microsoft Defender para punto de conexión admite directiva de grupo y otras herramientas de terceros que se usan para la administración de dispositivos.

Defender para punto de conexión proporciona un control específico sobre lo que los usuarios con acceso al portal pueden ver y hacer mediante la flexibilidad del control de acceso basado en rol (RBAC). El modelo RBAC admite todos los tipos de estructura de equipos de seguridad:

  • Equipos de seguridad y organizaciones distribuidas globalmente
  • Equipos de operaciones de seguridad de modelos en capas
  • Divisiones completamente segregadas con equipos únicos centralizados de operaciones de seguridad global

API disponibles

La solución Microsoft Defender para punto de conexión se basa en una plataforma lista para la integración.

Defender para punto de conexión expone gran parte de sus datos y acciones a través de un conjunto de API mediante programación. Esas API le permitirán automatizar flujos de trabajo e innovar en función de las funcionalidades de Defender para punto de conexión.

La API disponible y la integración en Microsoft Defender para punto de conexión

Las API de Defender para punto de conexión se pueden agrupar en tres:

  • API de Microsoft Defender para punto de conexión
  • API de streaming de datos sin procesar
  • Integración de SIEM

API de Microsoft Defender para punto de conexión

Defender for Endpoint ofrece un modelo de API por capas que expone datos y funcionalidades en un modelo estructurado, claro y fácil de usar, expuesto a través de un modelo estándar de autenticación y autorización basado en Azure AD que permite el acceso en contexto de usuarios o aplicaciones SaaS. El modelo de API se diseñó para exponer entidades y funcionalidades de forma coherente.

Vea este vídeo para obtener una introducción rápida a las API de Defender para punto de conexión.

La API de investigación expone la riqueza de Defender para punto de conexión: expone entidades calculadas o "perfiladas" (por ejemplo, dispositivos, usuarios y archivos) y eventos discretos (por ejemplo, creación de procesos y creación de archivos) que normalmente describen un comportamiento relacionado con una entidad, lo que permite el acceso a los datos a través de interfaces de investigación que permiten un acceso basado en consultas a los datos. Para obtener más información, consulte API admitidas.

Response API expone la capacidad de realizar acciones en el servicio y en los dispositivos, lo que permite a los clientes ingerir indicadores, administrar la configuración, el estado de las alertas, así como realizar acciones de respuesta en dispositivos mediante programación, como aislar dispositivos de la red, archivos de cuarentena y otros.

API de streaming de datos sin procesar

La API de streaming de datos sin procesar de Defender para punto de conexión proporciona a los clientes la capacidad de enviar eventos y alertas en tiempo real desde sus instancias a medida que se producen dentro de un único flujo de datos, lo que proporciona un mecanismo de entrega de baja latencia y alto rendimiento.

La información de eventos de Defender para punto de conexión se inserta directamente en Azure Storage para la retención de datos a largo plazo o para Azure Event Hubs para su consumo por parte de los servicios de visualización o motores de procesamiento de datos adicionales.

Para obtener más información, consulte Api de streaming de datos sin procesar.

La nueva API de streaming de Microsoft Defender XDR incluye eventos de correo electrónico y alertas, además de eventos de dispositivo. Para obtener más información, consulte Microsoft Defender XDR Streaming API.

SIEM API

Al habilitar la integración de administración de eventos e información de seguridad (SIEM), permite extraer detecciones de Microsoft Defender XDR mediante la solución SIEM o conectarse directamente a la API REST de detecciones. Esto activa la sección de detalles de acceso del conector SIEM con valores rellenados previamente y se crea una aplicación en el inquilino de Microsoft Entra.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.