Migrer de l’API SIEM MDE vers l’API d’alertes Microsoft 365 Defender

S’applique à :

Utiliser la nouvelle API Microsoft 365 Defender pour toutes vos alertes

Importante

En février, nous avons annoncé que la dépréciation de l’API SIEM Microsoft Defender pour point de terminaison (MDE) serait reportée. Après avoir recueilli les commentaires des clients, nous avons appris qu’il existe des difficultés avec la chronologie communiquée à l’origine. Par conséquent, nous apportons des modifications à notre chronologie pour améliorer l’expérience de migration de nos clients vers la nouvelle API. La nouvelle API d’alertes Microsoft 365 Defender, publiée en préversion publique dans MS Graph, est l’API officielle et recommandée pour les clients qui migrent à partir de l’API SIEM. Cette API permet aux clients d’utiliser des alertes sur tous les produits Microsoft 365 Defender à l’aide d’une seule intégration. Nous nous attendons à ce que la nouvelle API atteigne la disponibilité générale (GA) au 1er trimestre 2023. Pour donner plus de temps aux clients pour planifier et préparer leur migration vers les nouvelles API Microsoft 365 Defender, nous avons envoyé la date de dépréciation de l’API SIEM au 31 décembre 2023. Cela donnera aux clients un an après la publication en disponibilité générale attendue de Microsoft 365 Defender API pour migrer à partir de l’API SIEM. Au moment de la dépréciation, l’API SIEM est déclarée « déconseillée », mais pas « mise hors service ». Cela signifie que jusqu’à cette date, l’API SIEM continuera de fonctionner pour les clients existants. Après la date de dépréciation, l’API SIEM continuera d’être disponible, mais elle sera uniquement prise en charge pour les correctifs liés à la sécurité. À compter du 31 décembre 2024, trois ans après l’annonce de dépréciation initiale, nous nous réservons le droit de désactiver l’API SIEM, sans préavis supplémentaire.

Pour plus d’informations sur les nouvelles API, consultez l’annonce de blog : Les nouvelles API Microsoft 365 Defender dans Microsoft Graph sont désormais disponibles en préversion publique !

Documentation sur l’API : Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph bêta

Si vous êtes un client utilisant l’API SIEM, nous vous recommandons vivement de planifier et d’exécuter la migration. Vous trouverez ci-dessous des informations sur les options disponibles pour migrer vers une fonctionnalité prise en charge :

  1. Extraction d’alertes MDE dans un système externe (SIEM/SOAR)
  2. Appel direct de l’API d’alertes Microsoft 365 Defender

En savoir plus sur la nouvelle API d’alertes et d’incidents Microsoft 365 Defender

Extraction d’alertes Defender pour point de terminaison dans un système externe

Si vous extrayez des alertes Defender pour point de terminaison dans un système externe, différentes options sont prises en charge pour permettre aux organisations de travailler avec la solution de leur choix :

  1. Microsoft Sentinel est une solution native cloud, scalable, SIEM et SOAR (Security Orchestration, Automation, and Response). Fournit des analyses de sécurité intelligentes et des renseignements sur les menaces au sein de l’entreprise, en fournissant une solution unique pour la détection des attaques, la visibilité des menaces, la chasse proactive et la réponse aux menaces. Le connecteur Microsoft 365 Defender permet aux clients d’extraire facilement tous leurs incidents et alertes de tous les produits Microsoft 365 Defender. Pour en savoir plus sur l’intégration, consultez intégration Microsoft 365 Defender avec Microsoft Sentinel.
  2. IBM Security QRadar SIEM fournit une visibilité centralisée et une analytique de sécurité intelligente pour identifier et empêcher les menaces et les vulnérabilités de perturber les opérations de l’entreprise. L’équipe SIEM QRadar vient d’annoncer la publication d’un nouveau DSM intégré à la nouvelle API d’alertes Microsoft 365 Defender pour extraire Microsoft Defender pour point de terminaison alertes. Les nouveaux clients sont invités à tirer parti du nouveau DSM lors de sa publication. Pour plus d’informations sur le nouveau DSM et sur la façon de migrer facilement vers celui-ci, consultez Microsoft 365 Defender - Documentation IBM.
  3. Splunk SOAR aide les clients à orchestrer des flux de travail et à automatiser les tâches en quelques secondes pour travailler plus intelligemment et répondre plus rapidement. Spunk SOAR est intégré aux nouvelles API Microsoft 365 Defender, y compris l’API d’alertes. Pour plus d’informations, consultez Microsoft 365 Defender | Splunkbase

Les intégrations supplémentaires sont répertoriées dans Partenaires technologiques de Microsoft 365 Defender, ou contactez votre fournisseur SIEM/SOAR pour en savoir plus sur les intégrations qu’ils peuvent fournir.

Appel direct de l’API d’alertes Microsoft 365 Defender

Le tableau ci-dessous fournit un mappage entre l’API SIEM et l’API d’alertes Microsoft 365 Defender :

Propriété de l’API SIEM Mappage Propriété de l’API d’alerte Microsoft 365 Defender
AlertTime -> createdDateTime
ComputerDnsName -> evidence/deviceEvidence : deviceDnsName
AlertTitle -> title
Catégorie -> category
Severity -> Sévérité
AlertId -> id
Actor -> actorDisplayName
LinkToWDATP -> alertWebUrl
IocName X Champs IoC non pris en charge
IocValue X Champs IoC non pris en charge
CreatorIocName X Champs IoC non pris en charge
CreatorIocValue X Champs IoC non pris en charge
Sha1 -> evidence/fileEvidence/fileDetails: sha1 (ou evidence/processEvidence/imageFile: sha1)
FileName -> evidence/fileEvidence/fileDetails : fileName (ou evidence/processEvidence/image : fileName)
FilePath -> evidence/fileEvidence/fileDetails : filePath (ou evidence/processEvidence/image : filePath)
IPAddress -> evidence/ipEvidence : ipAddress
URL -> evidence/urlEvidence : url
IoaDefinitionId -> detectorId
UserName -> evidence/userEvidence/userAccount : accountName
AlertPart X Obsolète (les alertes MDE sont atomiques/complètes et peuvent être mises à jour, tandis que l’API SIEM était des enregistrements immuables de détections)
FullId X Champs IoC non pris en charge
LastProcessedTimeUtc -> lastActivityDateTime
ThreatCategory -> mitreTechniques []
ThreatFamilyName -> threatFamilyName
ThreatName -> threatDisplayName
RemediationAction -> evidence : remediationStatus
RemediationIsSuccess -> evidence: remediationStatus (implicite)
Source -> detectionSource (à utiliser avec serviceSource : microsoftDefenderForEndpoint)
Md5 X Non pris en charge
Sha256 -> evidence/fileEvidence/fileDetails : sha256 (ou evidence/processEvidence/imageFile : sha256)
WasExecutingWhileDetected -> evidence/processEvidence : detectionStatus
UserDomain -> evidence/userEvidence/userAccount : domainName
LogOnUsers -> evidence/deviceEvidence : loggedOnUsers []
MachineDomain -> Inclus dans evidence/deviceEvidence : deviceDnsName
Machinename -> Inclus dans evidence/deviceEvidence : deviceDnsName
InternalIPV4List X Non pris en charge
InternalIPV6List X Non pris en charge
FileHash -> Utiliser sha1 ou sha256
DeviceID -> evidence/deviceEvidence : mdeDeviceId
MachineGroup -> evidence/deviceEvidence : rbacGroupName
Description -> description
DeviceCreatedMachineTags -> evidence: tags [] (pour deviceEvidence)
CloudCreatedMachineTags -> evidence: tags [] (pour deviceEvidence)
CommandLine -> evidence/processEvidence : processCommandLine
IncidentLinkToWDATP -> incidentWebUrl
IdRapport X Obsolète (les alertes MDE sont atomiques/complètes et peuvent être mises à jour, tandis que l’API SIEM était des enregistrements immuables de détections)
LinkToMTP -> alertWebUrl
IncidentLinkToMTP -> incidentWebUrl
ExternalId X Obsolète
IocUniqueId X Champs IoC non pris en charge

Ingérer des alertes à l’aide d’outils SIEM (Security Information and Events Management)

Remarque

Microsoft Defender pour point de terminaison’alerte est composée d’un ou plusieurs événements suspects ou malveillants qui se sont produits sur l’appareil et de leurs détails connexes. L’API d’alerte Microsoft Defender pour point de terminaison est la dernière API pour la consommation des alertes et contient une liste détaillée des preuves associées pour chaque alerte. Pour plus d’informations, consultez Méthodes et propriétés d’alerte et Répertorier les alertes.

Microsoft Defender pour point de terminaison prend en charge les outils SIEM (Security Information and Event Management) qui ingèrent les informations de votre locataire d’entreprise dans Azure Active Directory (AAD) à l’aide du protocole d’authentification OAuth 2.0 pour une application AAD inscrite représentant la solution SIEM ou le connecteur spécifique installé dans votre environnement.

Pour plus d’informations, consultez l’article suivant :