Accéder aux notifications d’incident à l’aide de API Graph
S’applique à :
Les notifications d’experts Defender sont des incidents qui ont été générés à partir de la chasse effectuée par les experts Defender dans votre environnement. Ils contiennent des informations sur l’enquête de chasse et les actions recommandées fournies par les experts Defender. Vous pouvez désormais accéder aux noms d’utilisateur à l’aide de l’API de sécurité Microsoft Graph.
Remarque
Tout incident dans le portail Microsoft Defender est un ensemble d’alertes corrélées. En savoir plus
Les informations de notification des experts Defender suivantes sont disponibles dans le portail Microsoft Defender :
- Titre de l’incident : commence par Les experts Defender pour distinguer les notifications d’experts Defender des autres incidents
- Résumé exécutif : fournit une vue d’ensemble du résumé de l’enquête
- Résumé des recommandations : répertorie les actions recommandées par les experts Defender
- Requêtes de chasse avancées : répertorie les requêtes de chasse KQL converties utilisées pour l’investigation
Dans l’API de sécurité Microsoft Graph, les champs suivants sont également disponibles :
- Point de terminaison de graphe - https://graph.microsoft.com/beta/security/incidents
- Les noms de champs suivants qui correspondent aux détails mentionnés précédemment :
- displayName
- description
- recommendedActions
- recommendedHuntingQueries
Remarque
Ces champs seront bientôt disponibles dans le point de terminaison Graph v1.0. Pour plus d’informations, consultez API REST Microsoft Graph v1.0
Votre approche de l’utilisation des notifications Defender Experts à partir de l’API varie en fonction du système en aval que vous envisagez d’utiliser et de vos besoins spécifiques. Toutefois, les étapes suivantes sont une implémentation de base pour vous aider à commencer :
À partir d’incidents dans le API Graph
- Obtenez les incidents à partir de l’API de sécurité Graph.
- Recherchez les nouveaux incidents où displayName commence par Defender Experts.
- Poursuivez la lecture des champs restants pour ces incidents.
- Synchronisez les informations DeN (Defender Experts Notification) dans votre outil en aval (par exemple, ServiceNow).
À partir d’alertes dans le API Graph
- Obtenez des alertes à partir de l’API de sécurité Graph.
- Recherchez les nouvelles alertes où detectionSource commence par microsoftThreatExperts.
- Recherchez l’incident correspondant en vérifiant incidentId répertorié sur l’alerte.
- Poursuivez la lecture des champs restants pour ces incidents.
- Synchronisez les informations DeN (Defender Experts Notification) dans votre outil en aval (par exemple, ServiceNow).
Étape suivante
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour