Partager via


Vue d’ensemble de la gestion et des API

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Defender pour point de terminaison prend en charge un large éventail d’options pour garantir que les clients peuvent facilement adopter la plateforme.

Reconnaissant que les structures et les environnements des clients peuvent varier, Defender pour point de terminaison a été créé avec flexibilité et un contrôle granulaire pour répondre aux différentes exigences des clients.

Intégration des points de terminaison et accès au portail

L’intégration des appareils est entièrement intégrée à Microsoft Configuration Manager et Microsoft Intune pour les appareils clients et les Microsoft Defender pour les appareils serveur, offrant ainsi une expérience complète de la configuration, du déploiement et de la surveillance. En outre, Microsoft Defender pour point de terminaison prend en charge stratégie de groupe et d’autres outils tiers utilisés pour la gestion des appareils.

Defender pour point de terminaison fournit un contrôle précis sur ce que les utilisateurs ayant accès au portail peuvent voir et faire grâce à la flexibilité du contrôle d’accès en fonction du rôle (RBAC). Le modèle RBAC prend en charge toutes les versions de la structure des équipes de sécurité :

  • Organisations et équipes de sécurité distribuées à l’échelle mondiale
  • Équipes d’opérations de sécurité de modèle hiérarchisé
  • Divisions entièrement séparées avec des équipes d’opérations de sécurité globales centralisées uniques

API disponibles

La solution Microsoft Defender pour point de terminaison repose sur une plateforme prête pour l’intégration.

Defender pour point de terminaison expose la plupart de ses données et actions par le biais d’un ensemble d’API programmatiques. Ces API vous permettent d’automatiser les workflows et d’innover en fonction des fonctionnalités de Defender pour point de terminaison.

API et intégration disponibles dans Microsoft Defender pour point de terminaison

Les API Defender pour point de terminaison peuvent être regroupées en trois :

  • API Microsoft Defender pour point de terminaison
  • API de diffusion en continu de données brutes
  • Intégration SIEM

API Microsoft Defender pour point de terminaison

Defender pour point de terminaison offre un modèle d’API en couches exposant les données et les fonctionnalités dans un modèle structuré, clair et facile à utiliser, exposé via un modèle d’authentification et d’autorisation basé sur Azure AD standard permettant l’accès dans le contexte d’utilisateurs ou d’applications SaaS. Le modèle d’API a été conçu pour exposer des entités et des fonctionnalités sous une forme cohérente.

Regardez cette vidéo pour obtenir une vue d’ensemble rapide des API de Defender pour point de terminaison.

L’API Investigation expose la richesse de Defender pour point de terminaison, en exposant des entités calculées ou « profilées » (par exemple, appareil, utilisateur et fichier) et des événements discrets (par exemple, création de processus et création de fichiers) qui décrivent généralement un comportement lié à une entité, permettant l’accès aux données via des interfaces d’investigation permettant un accès aux données basé sur une requête. Pour plus d’informations, consultez API prises en charge.

L’API Response expose la possibilité d’effectuer des actions dans le service et sur les appareils, ce qui permet aux clients d’ingérer des indicateurs, de gérer les paramètres, d’alerter status, ainsi que d’effectuer des actions de réponse sur les appareils par programmation, telles que l’isolation des appareils du réseau, la mise en quarantaine des fichiers, etc.

API de diffusion en continu de données brutes

L’API de diffusion en continu de données brutes Defender pour point de terminaison offre aux clients la possibilité d’envoyer des événements et des alertes en temps réel à partir de leurs instances à mesure qu’ils se produisent dans un seul flux de données, fournissant un mécanisme de remise à faible latence et à débit élevé.

Les informations d’événement Defender pour point de terminaison sont envoyées directement au stockage Azure pour la conservation à long terme des données, ou pour Azure Event Hubs pour être consommées par des services de visualisation ou des moteurs de traitement de données supplémentaires.

Pour plus d’informations, consultez API de streaming de données brutes.

La nouvelle API de streaming Microsoft Defender XDR inclut des événements d’e-mail et d’alerte en plus des événements d’appareil. Pour plus d’informations, consultez API de streaming Microsoft Defender XDR.

SIEM API

Lorsque vous activez l’intégration des informations de sécurité et de la gestion des événements (SIEM), cela vous permet d’extraire des détections de Microsoft Defender XDR à l’aide de votre solution SIEM ou en vous connectant directement à l’API REST détections. Cela active la section détails d’accès du connecteur SIEM avec des valeurs préremplies et une application est créée sous votre locataire Microsoft Entra.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.