לקריאה באנגלית

שתף באמצעות


מעבר מ- API של MDE SIEM ל- API Microsoft Defender XDR שלך

חל על:

השתמש בממשק Microsoft Defender XDR API החדש עבור כל ההתראות שלך

ממשק Microsoft Defender XDR API של התראות, שפורסם לתצוגה מקדימה ציבורית ב- MS Graph, הוא ה- API הרשמי והמומלץ עבור לקוחות ההעברה מ- API של SIEM. API זה מאפשר ללקוחות לעבוד עם התראות בכל מוצרי Microsoft Defender XDR המשתמשים שילוב יחיד. אנו מצפים שה- API החדש יגיע לזמינות כללית (GA) עד Q1 CY 2023.

ה- API של SIEM יצא משימוש ב- 31 בדצמבר 2023. הוא הוכרז כ"הוצא משימוש", אך לא "יצא משימוש". משמעות הדבר היא כי עד לתאריך זה, ה- API של SIEM ממשיך לפעול עבור לקוחות קיימים. לאחר תאריך הפחת, ה- API של SIEM ימשיך להיות זמין, אך הוא יהיה נתמך רק עבור תיקונים הקשורים לאבטחה.

החל מ- 31 בדצמבר 2024, שלוש שנים לאחר הודעת הפחת המקורית, אנו שומרים תחילה את הזכות לכבות את ה- API של SIEM, ללא הודעה נוספת.

לקבלת מידע נוסף אודות ממשקי ה- API החדשים, עיין בהכרזה בבלוג: ממשקי ה- API Microsoft Defender XDR ב- Microsoft Graph זמינים כעת בתצוגה מקדימה ציבורית!

תיעוד API: שימוש ב- API של האבטחה של Microsoft Graph - Microsoft Graph

אם אתה לקוח המשתמש ב- API של SIEM, מומלץ מאוד לתכנן את ההעברה ולבצע אותה. מאמר זה כולל מידע אודות האפשרויות הזמינות להעברה ליכולת נתמכת:

  1. משיכת MDE למערכת חיצונית (SIEM/SOAR).

  2. קריאה ישירה Microsoft Defender XDR API של התראות.

קרא אודות ה- API החדש Microsoft Defender XDR התראות ותקריות

משיכת Defender לקבלת התראות נקודת קצה למערכת חיצונית

אם אתה מושך את Defender עבור התראות נקודת קצה למערכת חיצונית, קיימות כמה אפשרויות נתמכות המאפשרות לארגונים את הגמישות לעבוד עם הפתרון שהם בוחרים:

  1. Microsoft Sentinel הוא פתרון מדרגי, מקורי בענן, סיאם ואבטחה, אוטומציה ותגובה (SOAR). מספק בינה חכמה של ניתוח אבטחה ואיומים ברחבי הארגון, ומספק פתרון יחיד לזיהוי תקיפות, ניראות איומים, ציד יזום ותגובה לאיומים. המחבר Microsoft Defender XDR מאפשר ללקוחות למשוך בקלות את כל האירועים וההתראות שלהם מכל Microsoft Defender XDR המוצרים. לקבלת מידע נוסף על השילוב, ראה Microsoft Defender XDR עם Microsoft Sentinel.

  2. IBM Security QRadar SIEM מספק ניראות מרוכזת וניתוח אבטחה חכם כדי לזהות ולמנוע מאיומים ומפגיעות לשבש את הפעולות העסקיות. צוות QRadar SIEM הכריז זה עתה על ההפצה של DSM חדש, המשולב עם ה- API Microsoft Defender XDR החדש כדי למשוך Microsoft Defender עבור נקודת קצה נוספות. לקוחות חדשים מוזמנים לנצל את ה- DSM החדש עם ההפצה. קבל מידע נוסף על ה- DSM החדש ועל האופן שבו ניתן לעבור אליה בקלות ב- Microsoft Defender XDR - תיעוד של IBM.

  3. Splunk SOAR עוזר ללקוחות לתזמן זרימות עבודה להפוך משימות לאוטומטיות תוך שניות כדי לעבוד בצורה חכמה יותר ולהגיב מהר יותר. Splunk SOAR משולב עם ממשקי ה- API Microsoft Defender XDR, כולל API של התראות. לקבלת מידע נוסף, ראה Microsoft Defender XDR | בסיס משוכפל

שילובים אחרים מפורטים בהשותפים הטכנולוגיים של Microsoft Defender XDR, או צור קשר עם ספק SIEM /SOAR שלך כדי ללמוד על שילובים שהם מספקים.

קריאה ישירה Microsoft Defender XDR API של התראות מיידיות

הטבלה שלהלן מספקת מיפוי בין ה- API של SIEM ל- API Microsoft Defender XDR התראות:

המאפיין SIEM API מיפוי Microsoft Defender XDR ה- API של ההתראה
AlertTime -> createdDateTime
ComputerDnsName -> evidence/deviceEvidence: deviceDnsName
AlertTitle -> title
Category -> category
Severity -> severity
AlertId -> id
Actor -> actorDisplayName
LinkToWDATP -> alertWebUrl
IocName X שדות IoC אינם נתמכים
IocValue X שדות IoC אינם נתמכים
CreatorIocName X שדות IoC אינם נתמכים
CreatorIocValue X שדות IoC אינם נתמכים
Sha1 -> evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName -> evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath -> evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress -> evidence/ipEvidence: ipAddress
URL -> evidence/urlEvidence: url
IoaDefinitionId -> detectorId
UserName -> evidence/userEvidence/userAccount: accountName
AlertPart X מיושן (התראות של Defender for Endpoint הן אטומיות/מלאות הניתנות לעדכון, בעוד שממשק ה- API של SIEM היה רשומות של זיהויים ניתנים לשינוי)
FullId X שדות IoC אינם נתמכים
LastProcessedTimeUtc -> lastActivityDateTime
ThreatCategory -> mitreTechniques []
ThreatFamilyName -> threatFamilyName
ThreatName -> threatDisplayName
RemediationAction -> evidence: remediationStatus
RemediationIsSuccess -> evidence: remediationStatus (implied)
Source -> detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5 X לא נתמך
Sha256 -> evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected -> evidence/processEvidence: detectionStatus
UserDomain -> evidence/userEvidence/userAccount: domainName
LogOnUsers -> evidence/deviceEvidence: loggedOnUsers []
MachineDomain -> כלול ב- evidence/deviceEvidence: deviceDnsName
MachineName -> כלול ב- evidence/deviceEvidence: deviceDnsName
InternalIPV4List X לא נתמך
InternalIPV6List X לא נתמך
FileHash -> השתמש או sha1sha256
DeviceID -> evidence/deviceEvidence: mdeDeviceId
MachineGroup -> evidence/deviceEvidence: rbacGroupName
Description -> description
DeviceCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CommandLine -> evidence/processEvidence: processCommandLine
IncidentLinkToWDATP -> incidentWebUrl
ReportId X מיושן (התראות של Defender for Endpoint הן אטומיות/מלאות הניתנות לעדכון, בעוד שממשק ה- API של SIEM היה רשומות של זיהויים ניתנים לשינוי)
LinkToMTP -> alertWebUrl
IncidentLinkToMTP -> incidentWebUrl
ExternalId X מיושן
IocUniqueId X שדות IoC אינם נתמכים

Ingest alerts using security information and events management (SIEM) tools

הערה

Microsoft Defender עבור נקודת קצה התראה מורכבת מאירוע חשוד או זדוני אחד או יותר שהתרחשו במכשיר ומהפרטים הקשורים שלהם. ממשק Microsoft Defender עבור נקודת קצה API של התראה הוא ה- API העדכני ביותר לצריכת התראה והוא מכיל רשימה מפורטת של ראיות קשורות עבור כל התראה. לקבלת מידע נוסף, ראה פעולות שירות ומאפיינים של התראה והתראותרשימה.

Microsoft Defender עבור נקודת קצה תומך במידע אבטחה וכלי ניהול אירועים (SIEM) לאחסון מידע מהדייר הארגוני שלך ב- Microsoft Entra מזהה באמצעות פרוטוקול האימות של OAuth 2.0 עבור חשבון Microsoft Entra אפליקציה המייצגת את פתרון או המחבר הספציפי של SIEM המותקנים בסביבה שלך.

לקבלת מידע נוסף, ראה:

טיפ

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.