Olvasás angol nyelven

Megosztás a következőn keresztül:


Incidensértesítések elérése a Graph API használatával

Érintett szolgáltatás:

A Defender-szakértők értesítései olyan incidensek, amelyeket a környezetben a Defender-szakértők által végzett veszélyforrás-keresés hozott létre. Információkat tartalmaznak a veszélyforrás-keresés vizsgálatáról és a Defender-szakértők által javasolt műveletekről. Mostantól hozzáférhet a DEN-ekhez a Microsoft Graph biztonsági API-val.

Megjegyzés

A Microsoft Defender portálon található incidensek korrelált riasztások gyűjteményei. További információ

A Defender-szakértők értesítésének alábbi részletei a Microsoft Defender portálon érhetők el:

  • Incidens címe – a Defender-szakértőkkel kezdődik, hogy megkülönböztesse a Defender-szakértők értesítéseit a többi incidenstől
  • Vezetői összefoglalás – áttekintést nyújt a vizsgálat összefoglalásáról
  • Javaslatok összefoglalása – a Defender-szakértők által javasolt műveleteket sorolja fel
  • Speciális veszélyforrás-keresési lekérdezések – a vizsgálathoz használt konvertált KQL-keresési lekérdezéseket sorolja fel

A Microsoft Graph security API-ban a következő mezők is elérhetők:

Megjegyzés

Ezek a mezők hamarosan elérhetők lesznek a Graph 1.0-s verziójú végpontjában. További információ: Microsoft Graph REST API v1.0

A Defender Experts-értesítések API-ból való felhasználásának módja a használni kívánt alárendelt rendszertől és a konkrét követelményektől függően változik. A következő lépések azonban egy alapszintű implementációt jelentenek, amely segít az első lépések megtételében:

A Graph API incidenseitől kezdve

  1. Incidensek lekérése a Graph Security API-ból.
  2. Ellenőrizze, hogy vannak-e olyan új incidensek, ahol a displayNamea Defender-szakértőkkel kezdődik.
  3. Folytassa az ilyen incidensek fennmaradó mezőinek olvasását.
  4. Szinkronizálja a Defender Experts Notification (DEN) adatait az alsóbb rétegbeli eszközbe (például ServiceNow).

A Graph API riasztásaitól kezdve

  1. Riasztások lekérése a Graph Security API-ból.
  2. Keressen új riasztásokat, ahol a detectionSource a microsoftThreatExperts kezdetű.
  3. Keresse meg a megfelelő incidenst a riasztásban felsorolt incidentId ellenőrzésével.
  4. Folytassa az ilyen incidensek fennmaradó mezőinek olvasását.
  5. Szinkronizálja a Defender Experts Notification (DEN) adatait az alsóbb rétegbeli eszközbe (például ServiceNow).

További lépés

Tipp.

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.