Megosztás a következőn keresztül:

Migrálás az MDE SIEM API-ról a Microsoft Defender XDR alerts API-ra

  • Cikk

Érintett szolgáltatás:

Az új Microsoft Defender XDR API használata az összes riasztáshoz

Az MS Graph nyilvános előzetes verziójában megjelent Microsoft Defender XDR alerts API a SIEM API-ból migrált ügyfelek hivatalos és ajánlott API-ja. Ez az API lehetővé teszi, hogy az ügyfelek egyetlen integrációval dolgozzanak az összes Microsoft Defender XDR termékre vonatkozó riasztásokkal. Az új API várhatóan 2023 első negyedévére általánosan elérhetővé válik.

A SIEM API 2023. december 31-én elavult. Deklarált értéke "elavult", de nem "kivezetve". Ez azt jelenti, hogy eddig a dátumig a SIEM API továbbra is működik a meglévő ügyfelek számára. Az elavulási dátum után a SIEM API továbbra is elérhető lesz, de csak a biztonsággal kapcsolatos javítások esetében lesz támogatott.

2024. december 31-től, három évvel az eredeti elavulási bejelentés után fenntartjuk a jogot, hogy további értesítés nélkül kikapcsoljuk a SIEM API-t.

Az új API-kkal kapcsolatos további információkért tekintse meg a következő blogbejegyzést: A Microsoft Graph új Microsoft Defender XDR API-jai mostantól nyilvános előzetes verzióban is elérhetők!

API-dokumentáció: A Microsoft Graph biztonsági API használata – Microsoft Graph

Ha Ön az SIEM API-t használó ügyfél, határozottan javasoljuk a migrálás megtervezését és végrehajtását. Ez a cikk a támogatott képességre való migráláshoz elérhető lehetőségekről tartalmaz információkat:

  1. MDE riasztások külső rendszerbe (SIEM/SOAR) való lekérése.

  2. A Microsoft Defender XDR alerts API közvetlen meghívása.

További információ az új Microsoft Defender XDR riasztásokról és incidensek API-ról

Végponthoz készült Defender-riasztások lekérése külső rendszerbe

Ha a Végponthoz készült Defender-riasztásokat külső rendszerbe húzza, számos támogatott lehetőség közül választhat, amellyel a szervezetek rugalmasan dolgozhatnak a választott megoldással:

  1. A Microsoft Sentinel egy skálázható, natív felhőbeli, SIEM- és biztonsági vezénylési, automatizálási és reagálási (SOAR) megoldás. Intelligens biztonsági elemzéseket és fenyegetésfelderítést biztosít a vállalaton belül, egyetlen megoldást biztosítva a támadások észlelésére, a fenyegetések láthatóságára, a proaktív veszélyforrás-keresésre és a fenyegetésekre való reagálásra. A Microsoft Defender XDR összekötővel az ügyfelek egyszerűen lekérhetik az összes incidenst és riasztást az összes Microsoft Defender XDR termékből. Az integrációval kapcsolatos további információkért lásd: Microsoft Defender XDR integráció a Microsoft Sentinellel.

  2. IBM Biztonsági QRadar A SIEM központosított átláthatóságot és intelligens biztonsági elemzéseket biztosít a fenyegetések és a biztonsági rések azonosításához és megelőzéséhez az üzleti műveletek megzavarásához. A QRadar SIEM csapata nemrég jelentette be egy új DSM kiadását, amely integrálva van az új Microsoft Defender XDR riasztási API-val Végponthoz készült Microsoft Defender riasztások lekéréséhez. Az új ügyfelek a megjelenéskor kihasználhatják az új DSM előnyeit. További információ az új DSM-ről és arról, hogyan migrálható könnyen a Microsoft Defender XDR – IBM dokumentációjában.

  3. A Splunk SOAR segítségével az ügyfelek másodpercek alatt vezényelhetik a munkafolyamatokat és automatizálhatják a feladatokat, így intelligensebben dolgozhatnak és gyorsabban válaszolnak. A Splunk SOAR integrálva van az új Microsoft Defender XDR API-kkal, beleértve a alerts API-t is. További információ: Microsoft Defender XDR | Splunkbase

Az egyéb integrációk a Microsoft Defender XDR technológiai partnerei között találhatók, vagy az általuk biztosított integrációk megismeréséhez lépjen kapcsolatba az SIEM-/SOAR-szolgáltatóval.

A Microsoft Defender XDR alerts API közvetlen meghívása

Az alábbi táblázat a SIEM API és a Microsoft Defender XDR alerts API közötti leképezést tartalmazza:

SIEM API-tulajdonság Hozzárendelés riasztási API-tulajdonság Microsoft Defender XDR
AlertTime -> createdDateTime
ComputerDnsName -> evidence/deviceEvidence: deviceDnsName
AlertTitle -> title
Category -> category
Severity -> severity
AlertId -> id
Actor -> actorDisplayName
LinkToWDATP -> alertWebUrl
IocName X Az IoC-mezők nem támogatottak
IocValue X Az IoC-mezők nem támogatottak
CreatorIocName X Az IoC-mezők nem támogatottak
CreatorIocValue X Az IoC-mezők nem támogatottak
Sha1 -> evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName -> evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath -> evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress -> evidence/ipEvidence: ipAddress
URL -> evidence/urlEvidence: url
IoaDefinitionId -> detectorId
UserName -> evidence/userEvidence/userAccount: accountName
AlertPart X Elavult (a Végponthoz készült Defender riasztásai atomi/teljes állapotúak, amelyek frissíthetők, míg az SIEM API nem módosítható észlelési rekordok voltak)
FullId X Az IoC-mezők nem támogatottak
LastProcessedTimeUtc -> lastActivityDateTime
ThreatCategory -> mitreTechniques []
ThreatFamilyName -> threatFamilyName
ThreatName -> threatDisplayName
RemediationAction -> evidence: remediationStatus
RemediationIsSuccess -> evidence: remediationStatus (implied)
Source -> detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5 X Nem támogatott
Sha256 -> evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected -> evidence/processEvidence: detectionStatus
UserDomain -> evidence/userEvidence/userAccount: domainName
LogOnUsers -> evidence/deviceEvidence: loggedOnUsers []
MachineDomain -> Belefoglalva a evidence/deviceEvidence: deviceDnsName
MachineName -> Belefoglalva a evidence/deviceEvidence: deviceDnsName
InternalIPV4List X Nem támogatott
InternalIPV6List X Nem támogatott
FileHash -> A vagy a használata sha1sha256
DeviceID -> evidence/deviceEvidence: mdeDeviceId
MachineGroup -> evidence/deviceEvidence: rbacGroupName
Description -> description
DeviceCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CommandLine -> evidence/processEvidence: processCommandLine
IncidentLinkToWDATP -> incidentWebUrl
ReportId X Elavult (a Végponthoz készült Defender riasztásai atomi/teljes állapotúak, amelyek frissíthetők, míg az SIEM API nem módosítható észlelési rekordok voltak)
LinkToMTP -> alertWebUrl
IncidentLinkToMTP -> incidentWebUrl
ExternalId X Elavult
IocUniqueId X Az IoC-mezők nem támogatottak

Riasztások betöltése biztonsági információ- és eseménykezelési (SIEM) eszközökkel

Megjegyzés:

Végponthoz készült Microsoft Defender riasztás az eszközön történt egy vagy több gyanús vagy rosszindulatú eseményből és azok kapcsolódó részleteiből áll. A Végponthoz készült Microsoft Defender Alert API a riasztások felhasználásának legújabb API-ja, és az egyes riasztások kapcsolódó bizonyítékainak részletes listáját tartalmazza. További információ: Riasztási módszerek és tulajdonságok ésRiasztások listázása.

Végponthoz készült Microsoft Defender támogatja azokat a biztonsági információkat és eseményeket kezelő (SIEM) eszközöket, amelyek Microsoft Entra ID a vállalati bérlőtől származó adatokat az OAuth 2.0 hitelesítési protokoll használatával egy regisztrált Microsoft Entra az adott környezetben telepített SIEM-megoldást vagy összekötőt képviselő alkalmazás.

További információ:

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.