Compartir vía


Acceso a las notificaciones de incidentes mediante Graph API

Se aplica a:

Las notificaciones de expertos de Defender son incidentes que se han generado a partir de la búsqueda realizada por expertos de Defender en su entorno. Contienen información sobre la investigación de búsqueda y las acciones recomendadas proporcionadas por expertos de Defender. Ahora puede acceder a los DEN mediante la API de seguridad de Microsoft Graph.

Nota:

Cualquier incidente en el portal de Microsoft Defender es una colección de alertas correlacionadas. Más información

Los siguientes detalles de la notificación de expertos de Defender están disponibles en el portal de Microsoft Defender:

  • Título del incidente : comienza con expertos de Defender para distinguir las notificaciones de expertos de Defender de otros incidentes
  • Resumen ejecutivo : proporciona información general sobre el resumen de la investigación
  • Resumen de la recomendación : enumera las acciones recomendadas de los expertos de Defender
  • Consultas de búsqueda avanzadas : enumera las consultas de búsqueda de KQL convertidas usadas para la investigación.

En la API de seguridad de Microsoft Graph, también están disponibles los campos siguientes:

Nota:

Estos campos pronto estarán disponibles en el punto de conexión de Graph v1.0. Para obtener más información, consulte API REST de Microsoft Graph v1.0

El enfoque para consumir notificaciones de expertos de Defender desde la API variará en función del sistema de bajada que quiera usar y de sus requisitos específicos. Sin embargo, los pasos siguientes son una implementación básica para ayudarle a empezar:

A partir de incidentes en el Graph API

  1. Obtenga incidentes de Graph Security API.
  2. Compruebe si hay nuevos incidentes en los que displayName empiece por Expertos de Defender.
  3. Siga leyendo los campos restantes para estos incidentes.
  4. Sincronice la información de notificación de expertos de Defender (DEN) en la herramienta de bajada (por ejemplo, ServiceNow).

A partir de alertas en el Graph API

  1. Obtenga alertas de Graph Security API.
  2. Busque nuevas alertas donde detectionSource comience por microsoftThreatExperts.
  3. Busque el incidente correspondiente comprobando incidentId que aparece en la alerta.
  4. Siga leyendo los campos restantes para estos incidentes.
  5. Sincronice la información de notificación de expertos de Defender (DEN) en la herramienta de bajada (por ejemplo, ServiceNow).

Paso siguiente

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.