מעבר מ- API של MDE SIEM ל- API Microsoft Defender XDR שלך
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender XDR
ממשק Microsoft Defender XDR API של התראות, שפורסם לתצוגה מקדימה ציבורית ב- MS Graph, הוא ה- API הרשמי והמומלץ עבור לקוחות ההעברה מ- API של SIEM. API זה מאפשר ללקוחות לעבוד עם התראות בכל מוצרי Microsoft Defender XDR המשתמשים שילוב יחיד. אנו מצפים שה- API החדש יגיע לזמינות כללית (GA) עד Q1 CY 2023.
ה- API של SIEM יצא משימוש ב- 31 בדצמבר 2023. הוא הוכרז כ"הוצא משימוש", אך לא "יצא משימוש". משמעות הדבר היא כי עד לתאריך זה, ה- API של SIEM ממשיך לפעול עבור לקוחות קיימים. לאחר תאריך הפחת, ה- API של SIEM ימשיך להיות זמין, אך הוא יהיה נתמך רק עבור תיקונים הקשורים לאבטחה.
החל מ- 31 בדצמבר 2024, שלוש שנים לאחר הודעת הפחת המקורית, אנו שומרים תחילה את הזכות לכבות את ה- API של SIEM, ללא הודעה נוספת.
לקבלת מידע נוסף אודות ממשקי ה- API החדשים, עיין בהכרזה בבלוג: ממשקי ה- API Microsoft Defender XDR ב- Microsoft Graph זמינים כעת בתצוגה מקדימה ציבורית!
תיעוד API: שימוש ב- API של האבטחה של Microsoft Graph - Microsoft Graph
אם אתה לקוח המשתמש ב- API של SIEM, מומלץ מאוד לתכנן את ההעברה ולבצע אותה. מאמר זה כולל מידע אודות האפשרויות הזמינות להעברה ליכולת נתמכת:
קרא אודות ה- API החדש Microsoft Defender XDR התראות ותקריות
אם אתה מושך את Defender עבור התראות נקודת קצה למערכת חיצונית, קיימות כמה אפשרויות נתמכות המאפשרות לארגונים את הגמישות לעבוד עם הפתרון שהם בוחרים:
Microsoft Sentinel הוא פתרון מדרגי, מקורי בענן, סיאם ואבטחה, אוטומציה ותגובה (SOAR). מספק בינה חכמה של ניתוח אבטחה ואיומים ברחבי הארגון, ומספק פתרון יחיד לזיהוי תקיפות, ניראות איומים, ציד יזום ותגובה לאיומים. המחבר Microsoft Defender XDR מאפשר ללקוחות למשוך בקלות את כל האירועים וההתראות שלהם מכל Microsoft Defender XDR המוצרים. לקבלת מידע נוסף על השילוב, ראה Microsoft Defender XDR עם Microsoft Sentinel.
IBM Security QRadar SIEM מספק ניראות מרוכזת וניתוח אבטחה חכם כדי לזהות ולמנוע מאיומים ומפגיעות לשבש את הפעולות העסקיות. צוות QRadar SIEM הכריז זה עתה על ההפצה של DSM חדש, המשולב עם ה- API Microsoft Defender XDR החדש כדי למשוך Microsoft Defender עבור נקודת קצה נוספות. לקוחות חדשים מוזמנים לנצל את ה- DSM החדש עם ההפצה. קבל מידע נוסף על ה- DSM החדש ועל האופן שבו ניתן לעבור אליה בקלות ב- Microsoft Defender XDR - תיעוד של IBM.
Splunk SOAR עוזר ללקוחות לתזמן זרימות עבודה להפוך משימות לאוטומטיות תוך שניות כדי לעבוד בצורה חכמה יותר ולהגיב מהר יותר. Splunk SOAR משולב עם ממשקי ה- API Microsoft Defender XDR, כולל API של התראות. לקבלת מידע נוסף, ראה Microsoft Defender XDR | בסיס משוכפל
שילובים אחרים מפורטים בהשותפים הטכנולוגיים של Microsoft Defender XDR, או צור קשר עם ספק SIEM /SOAR שלך כדי ללמוד על שילובים שהם מספקים.
הטבלה שלהלן מספקת מיפוי בין ה- API של SIEM ל- API Microsoft Defender XDR התראות:
המאפיין SIEM API | מיפוי | Microsoft Defender XDR ה- API של ההתראה |
---|---|---|
AlertTime |
-> | createdDateTime |
ComputerDnsName |
-> | evidence/deviceEvidence: deviceDnsName |
AlertTitle |
-> | title |
Category |
-> | category |
Severity |
-> | severity |
AlertId |
-> | id |
Actor |
-> | actorDisplayName |
LinkToWDATP |
-> | alertWebUrl |
IocName |
X | שדות IoC אינם נתמכים |
IocValue |
X | שדות IoC אינם נתמכים |
CreatorIocName |
X | שדות IoC אינם נתמכים |
CreatorIocValue |
X | שדות IoC אינם נתמכים |
Sha1 |
-> | evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1) |
FileName |
-> | evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName) |
FilePath |
-> | evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath) |
IPAddress |
-> | evidence/ipEvidence: ipAddress |
URL |
-> | evidence/urlEvidence: url |
IoaDefinitionId |
-> | detectorId |
UserName |
-> | evidence/userEvidence/userAccount: accountName |
AlertPart |
X | מיושן (התראות של Defender for Endpoint הן אטומיות/מלאות הניתנות לעדכון, בעוד שממשק ה- API של SIEM היה רשומות של זיהויים ניתנים לשינוי) |
FullId |
X | שדות IoC אינם נתמכים |
LastProcessedTimeUtc |
-> | lastActivityDateTime |
ThreatCategory |
-> | mitreTechniques [] |
ThreatFamilyName |
-> | threatFamilyName |
ThreatName |
-> | threatDisplayName |
RemediationAction |
-> | evidence: remediationStatus |
RemediationIsSuccess |
-> | evidence: remediationStatus (implied) |
Source |
-> | detectionSource (use with serviceSource: microsoftDefenderForEndpoint) |
Md5 |
X | לא נתמך |
Sha256 |
-> | evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256) |
WasExecutingWhileDetected |
-> | evidence/processEvidence: detectionStatus |
UserDomain |
-> | evidence/userEvidence/userAccount: domainName |
LogOnUsers |
-> | evidence/deviceEvidence: loggedOnUsers [] |
MachineDomain |
-> | כלול ב- evidence/deviceEvidence: deviceDnsName |
MachineName |
-> | כלול ב- evidence/deviceEvidence: deviceDnsName |
InternalIPV4List |
X | לא נתמך |
InternalIPV6List |
X | לא נתמך |
FileHash |
-> | השתמש או sha1 sha256 |
DeviceID |
-> | evidence/deviceEvidence: mdeDeviceId |
MachineGroup |
-> | evidence/deviceEvidence: rbacGroupName |
Description |
-> | description |
DeviceCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CloudCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CommandLine |
-> | evidence/processEvidence: processCommandLine |
IncidentLinkToWDATP |
-> | incidentWebUrl |
ReportId |
X | מיושן (התראות של Defender for Endpoint הן אטומיות/מלאות הניתנות לעדכון, בעוד שממשק ה- API של SIEM היה רשומות של זיהויים ניתנים לשינוי) |
LinkToMTP |
-> | alertWebUrl |
IncidentLinkToMTP |
-> | incidentWebUrl |
ExternalId |
X | מיושן |
IocUniqueId |
X | שדות IoC אינם נתמכים |
הערה
Microsoft Defender עבור נקודת קצה התראה מורכבת מאירוע חשוד או זדוני אחד או יותר שהתרחשו במכשיר ומהפרטים הקשורים שלהם. ממשק Microsoft Defender עבור נקודת קצה API של התראה הוא ה- API העדכני ביותר לצריכת התראה והוא מכיל רשימה מפורטת של ראיות קשורות עבור כל התראה. לקבלת מידע נוסף, ראה פעולות שירות ומאפיינים של התראה והתראותרשימה.
Microsoft Defender עבור נקודת קצה תומך במידע אבטחה וכלי ניהול אירועים (SIEM) לאחסון מידע מהדייר הארגוני שלך ב- Microsoft Entra מזהה באמצעות פרוטוקול האימות של OAuth 2.0 עבור חשבון Microsoft Entra אפליקציה המייצגת את פתרון או המחבר הספציפי של SIEM המותקנים בסביבה שלך.
לקבלת מידע נוסף, ראה:
- Microsoft Defender עבור נקודת קצה API ותנאי שימוש
- גש לממשקי ה- API של Microsoft Defender עבור נקודת קצה
- Hello World לדוגמה (מתארת כיצד לרשום יישום Microsoft Entra מזהה)
- קבל גישה באמצעות הקשר היישום
- Microsoft Defender XDR שילוב של SIEM
טיפ
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.