Incidensértesítések elérése a Graph API használatával
Érintett szolgáltatás:
A Defender-szakértők értesítései olyan incidensek, amelyeket a környezetben a Defender-szakértők által végzett veszélyforrás-keresés hozott létre. Információkat tartalmaznak a veszélyforrás-keresés vizsgálatáról és a Defender-szakértők által javasolt műveletekről. Mostantól hozzáférhet a DEN-ekhez a Microsoft Graph biztonsági API-val.
Megjegyzés
A Microsoft Defender portálon található incidensek korrelált riasztások gyűjteményei. További információ
A Defender-szakértők értesítésének alábbi részletei a Microsoft Defender portálon érhetők el:
- Incidens címe – a Defender-szakértőkkel kezdődik, hogy megkülönböztesse a Defender-szakértők értesítéseit a többi incidenstől
- Vezetői összefoglalás – áttekintést nyújt a vizsgálat összefoglalásáról
- Javaslatok összefoglalása – a Defender-szakértők által javasolt műveleteket sorolja fel
- Speciális veszélyforrás-keresési lekérdezések – a vizsgálathoz használt konvertált KQL-keresési lekérdezéseket sorolja fel
A Microsoft Graph security API-ban a következő mezők is elérhetők:
- Gráfvégpont - https://graph.microsoft.com/beta/security/incidents
- Az alábbi mezőnevek felelnek meg a korábban említett adatoknak:
- kijelzőNév
- Leírás
- recommendedActions
- ajánlottHuntingQueries
Megjegyzés
Ezek a mezők hamarosan elérhetők lesznek a Graph 1.0-s verziójú végpontjában. További információ: Microsoft Graph REST API v1.0
A Defender Experts-értesítések API-ból való felhasználásának módja a használni kívánt alárendelt rendszertől és a konkrét követelményektől függően változik. A következő lépések azonban egy alapszintű implementációt jelentenek, amely segít az első lépések megtételében:
A Graph API incidenseitől kezdve
- Incidensek lekérése a Graph Security API-ból.
- Ellenőrizze, hogy vannak-e olyan új incidensek, ahol a displayNamea Defender-szakértőkkel kezdődik.
- Folytassa az ilyen incidensek fennmaradó mezőinek olvasását.
- Szinkronizálja a Defender Experts Notification (DEN) adatait az alsóbb rétegbeli eszközbe (például ServiceNow).
A Graph API riasztásaitól kezdve
- Riasztások lekérése a Graph Security API-ból.
- Keressen új riasztásokat, ahol a detectionSource a microsoftThreatExperts kezdetű.
- Keresse meg a megfelelő incidenst a riasztásban felsorolt incidentId ellenőrzésével.
- Folytassa az ilyen incidensek fennmaradó mezőinek olvasását.
- Szinkronizálja a Defender Experts Notification (DEN) adatait az alsóbb rétegbeli eszközbe (például ServiceNow).
Tipp.
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.