הערה
גישה לעמוד זה דורשת אישור. אתה יכול לנסות להיכנס או לשנות תיקיות.
גישה לעמוד זה דורשת אישור. אתה יכול לנסות לשנות מדריכים.
מעבר מנציגי יישומי ענן של Defender SIEM לממשקי API נתמכים מאפשר גישה מתמשכת לפעילויות עשירות ולנתוני התראות. למרות שייתכן שלממשקי ה- API אין מיפויים מדויקים של אחד-לאחד בסכימת Common Event Format (CEF) מדור קודם, הם מספקים נתונים מקיפים ומשופרים באמצעות שילוב בין עומסי עבודה Microsoft Defender מרובים.
ממשקי API מומלצים להעברה
כדי להבטיח המשכיות וגישה לנתונים הזמינים כעת באמצעות יישומי ענן של Microsoft Defender SIEM, מומלץ לעבור אל ממשקי ה- API הנתמכים הבאים:
- לקבלת התראות ופעילויות, ראה: Microsoft Defender XDR API של זרימה.
- לקבלת הגנה למזהה Microsoft Entra כניסה למערכת, ראה הטבלה IdentityLogonEvents בסכימת הציד המתקדם.
- עבור API של התראות אבטחה של Microsoft Graph, ראה: פרטי alerts_v2
- כדי להציג יישומי ענן של Microsoft Defender נתונים של התראות ב- API Microsoft Defender XDR, ראה Microsoft Defender XDR API של אירועים וסוג משאב האירועים
מיפוי שדות מ- SIEM מדור קודם וממשקי API נתמכים
הטבלה שלהלן משווה את שדות CEF של סוכן SIEM מדור קודם לשדות המקבילים הקרובים ביותר ב- API של זרימת Defender XDR (סכימת אירוע ציד מתקדמת) לבין ה- API של התראות האבטחה של Microsoft Graph.
| שדה CEF (MDA SIEM) | תיאור | Defender XDR API של זרימת נתונים (CloudAppEvents/AlertEvidence/AlertInfo) | API של התראות אבטחה של Graph (v2) |
|---|---|---|---|
start |
חותמת זמן של פעילות או התראה | Timestamp |
firstActivityDateTime |
end |
חותמת זמן של פעילות או התראה | ללא | lastActivityDateTime |
rt |
חותמת זמן של פעילות או התראה | createdDateTime |
createdDateTime / lastUpdateDateTime / resolvedDateTime |
msg |
תיאור התראה או פעילות, כפי שמוצג בפורטל בתבנית קריאה אנושית | השדות המובנים הקרובים ביותר התורמים לתיאור דומה: actorDisplayName, ObjectName, ActionType, ActivityType |
description |
suser |
משתמש נושא פעילות או התראה |
AccountObjectId, AccountId, AccountDisplayName |
ראה userEvidence סוג משאב |
destinationServiceName |
פעילות או התראה מהיישום המקורי (לדוגמה, SharePoint, Box) | CloudAppEvents > Application |
ראה cloudApplicationEvidence סוג משאב |
cs<X>Label, cs<X> |
שדות דינאמיים של התראה או פעילות (לדוגמה, משתמש יעד, אובייקט) |
Entities, Evidence, additionalData, ActivityObjects |
סוגי alertEvidence משאבים שונים |
EVENT_CATEGORY_* |
קטגוריית פעילות ברמה גבוהה | ActivityType / ActionType |
category |
<name> |
שם מדיניות תואם |
Title, alertPolicyId |
Title, alertPolicyId |
<ACTION> (פעילויות) |
סוג פעילות ספציפי | ActionType |
לא רלוונטי |
externalId (פעילויות) |
מזהה אירוע | ReportId |
לא רלוונטי |
requestClientApplication (פעילויות) |
סוכן משתמש של מכשיר הלקוח בפעילויות | UserAgent |
לא רלוונטי |
Dvc (פעילויות) |
IP של מכשיר לקוח | IPAddress |
לא רלוונטי |
externalId (התראה) |
מזהה התראה | AlertId |
id |
<alert type> |
סוג התראה (לדוגמה, ALERT_CABINET_EVENT_MATCH_AUDI) | - | - |
Src
/
c6a1 (התראות) |
כתובת IP של מקור | IPAddress |
ipEvidence סוג משאב |