Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Siirtyminen vanhasta Defender for Cloud Apps SIEM-agentista tuettuihin ohjelmointirajapintoihin mahdollistaa täydennettyjen toimintojen ja hälytystietojen jatkuvan käytön. Vaikka ohjelmointirajapinnoilla ei ehkä ole tarkkoja yksi yhteen -yhdistämismäärityksiä vanhaan Common Event Format (CEF) -rakenteeseen, ne tarjoavat kattavia, parannettuja tietoja integroimalla useita Microsoft Defender kuormituksia.
Siirron suositellut ohjelmointirajapinnat
Jotta voidaan varmistaa jatkuvuus ja pääsy tietoihin, jotka ovat tällä hetkellä saatavilla Microsoft Defender for Cloud Apps SIEM-agenttien kautta, suosittelemme siirtymistä seuraaviin tuettuihin ohjelmointirajapintoihin:
- Lisätietoja ilmoituksista ja toiminnoista on kohdassa: Microsoft Defender XDR suoratoiston ohjelmointirajapinta.
- Lisätietoja Microsoft Entra ID -tunnuksien suojaus kirjautumistapahtumista on kehittyneen metsästysrakenteen IdentityLogonEvents-taulukossa.
- Microsoft Graph Security Alerts -ohjelmointirajapinnan osalta katso kohta: Luettelo alerts_v2
- Jos haluat tarkastella Microsoft Defender for Cloud Apps hälytystietoja Microsoft Defender XDR tapahtumien ohjelmointirajapinnassa, katso Microsoft Defender XDR tapausten ohjelmointirajapinnat ja tapausten resurssityyppi
Kenttien yhdistäminen vanhasta SIEM:stä tuettuihin ohjelmointirajapintoihin
Alla olevassa taulukossa verrataan vanhan SIEM-agentin CEF-kenttiä lähimpiin vastaaviin kenttiin Defender XDR Suoratoiston ohjelmointirajapinnassa (kehittynyt metsästystapahtumarakenne) ja Microsoft Graph Security Alerts -ohjelmointirajapinnassa.
| CEF-kenttä (MDA SIEM) | Kuvaus | Defender XDR suoratoiston ohjelmointirajapinta (CloudAppEvents/AlertEvidence/AlertInfo) | Graph-suojaushälytysten ohjelmointirajapinta (v2) |
|---|---|---|---|
start |
Toiminnan tai hälytyksen aikaleima | Timestamp |
firstActivityDateTime |
end |
Toiminnan tai hälytyksen aikaleima | Ei mitään | lastActivityDateTime |
rt |
Toiminnan tai hälytyksen aikaleima | createdDateTime |
createdDateTime / lastUpdateDateTime / resolvedDateTime |
msg |
Ilmoitus tai toiminnan kuvaus sellaisina kuin ne näkyvät portaalissa luettavassa muodossa | Lähimmät jäsennettyjen kenttien, jotka vaikuttavat samanlaiseen kuvaukseen: actorDisplayName, ObjectName, , ActionTypeActivityType |
description |
suser |
Toiminnan tai hälytyksen aiheen käyttäjä |
AccountObjectId, AccountId, AccountDisplayName |
Näytä userEvidence resurssityyppi |
destinationServiceName |
Toiminta tai ilmoitus alkuperäisestä sovelluksesta (esimerkiksi SharePoint, Box) | CloudAppEvents > Application |
Näytä cloudApplicationEvidence resurssityyppi |
cs<X>Label, cs<X> |
Ilmoitukset tai toiminnan dynaamiset kentät (esimerkiksi kohdekäyttäjä, objekti) |
Entities, Evidence, additionalData, ActivityObjects |
Erilaisia alertEvidence resurssityyppejä |
EVENT_CATEGORY_* |
Ylätason aktiviteettiluokka | ActivityType / ActionType |
category |
<name> |
Vastaava käytännön nimi |
Title, alertPolicyId |
Title, alertPolicyId |
<ACTION> (Aktiviteetit) |
Tietty toimintotyyppi | ActionType |
N/A |
externalId (Aktiviteetit) |
Tapahtuman tunnus | ReportId |
N/A |
requestClientApplication (toiminnot) |
Asiakaslaitteen käyttäjäagentti toiminnoissa | UserAgent |
N/A |
Dvc (toiminnot) |
Asiakaslaitteen IP-osoite | IPAddress |
N/A |
externalId (Ilmoitus) |
Ilmoituksen tunnus | AlertId |
id |
<alert type> |
Ilmoitustyyppi (esimerkiksi ALERT_CABINET_EVENT_MATCH_AUDI) | - | - |
Src
/
c6a1 (ilmoitukset) |
Lähde-IP | IPAddress |
ipEvidence resurssityyppi |