גישה להודעות על אירועים באמצעות Graph API
חל על:
הודעות Defender Experts הן מקרים שנוצרו מהצייד שנערך על-ידי Defender Experts בסביבה שלך. הם מכילים מידע לגבי חקירת הציד ופעולות מומלצות המסופקות על-ידי Defender Experts. כעת באפשרותך לגשת אל DENs באמצעות ה- API של האבטחה של Microsoft Graph.
הערה
כל מקרה בפורטל Microsoft Defender הוא אוסף של התראות מתאם. מידע נוסף
פרטי ההודעה הבאים של Defender Experts זמינים בפורטל Microsoft Defender הבא:
- כותרת אירוע - מתחילה ב - Defender Experts כדי להבחין בין הודעות Defender Experts לתקריות אחרות
- סיכום ניהולי - מספק מבט כולל על סיכום החקירה
- סיכום המלצות - מפרט את הפעולות המומלצות מ- Defender Experts
- שאילתות ציד מתקדמות - מפרט את שאילתות הציד המומרות של KQL המשמשות לחקירה
ב- API של אבטחה של Microsoft Graph, השדות הבאים זמינים גם הם:
- נקודת קצה של גרף - https://graph.microsoft.com/beta/security/incidents
- שמות השדות הבאים התואמים לפרטים שהוזכרו קודם לכן:
- שם תצוגה (displayName)
- תיאור
- פריטים מומלצים
- מומלץהוטינגQueries
הערה
שדות אלה יהיו זמינים בקרוב ב נקודת קצה של Graph v1.0. לקבלת מידע נוסף, ראה Microsoft Graph REST API v1.0
הגישה שלך לצרוך הודעות של Defender Experts מה- API תשתנה בהתאם למערכת במורד הזרם שבה אתה מתכוון להשתמש ולדרישות הספציפיות שלך. עם זאת, השלבים הבאים הם יישום בסיסי שסייע לך להתחיל בעבודה:
החל ממקרי API של Graph
- קבל אירועים מ- API של אבטחה של Graph.
- בדוק אם קיימים מקרים חדשים שבהם displayName מתחיל ב - Defender Experts.
- המשך לקרוא את השדות הנותרים עבור אירועים כאלה.
- סנכרן את המידע של הודעות Defender Experts (DEN) לכלי במורד הזרם (לדוגמה, ServiceNow).
החל מהתראות ב- Graph API
- קבל התראות מ- API של אבטחה של Graph.
- בדוק אם קיימות התראות חדשות שבהן detectionSource מתחיל ב - microsoftThreatExperts.
- חפש מקרה תואם על-ידי בדיקת incidentId הרשום בהתראה.
- המשך לקרוא את השדות הנותרים עבור אירועים כאלה.
- סנכרן את המידע של הודעות Defender Experts (DEN) לכלי במורד הזרם (לדוגמה, ServiceNow).
השלב הבא
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.