Eseguire la migrazione dall'API SIEM MDE all'API avvisi Microsoft Defender XDR
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Usare la nuova API Microsoft Defender XDR per tutti gli avvisi
L'API avvisi Microsoft Defender XDR, rilasciata in anteprima pubblica in MS Graph, è l'API ufficiale e consigliata per i clienti che esecedono dall'API SIEM. Questa API consente ai clienti di usare gli avvisi in tutti i prodotti Microsoft Defender XDR usando una singola integrazione. Si prevede che la nuova API raggiunga la disponibilità generale entro il primo trimestre 2023.
L'API SIEM è stata deprecata il 31 dicembre 2023. Viene dichiarato come "deprecato", ma non "ritirato". Ciò significa che fino a questa data, l'API SIEM continua a funzionare per i clienti esistenti. Dopo la data di deprecazione, l'API SIEM continuerà a essere disponibile, ma sarà supportata solo per le correzioni correlate alla sicurezza.
A partire dal 31 dicembre 2024, tre anni dopo l'annuncio di deprecazione originale, ci riserviamo il diritto di disattivare l'API SIEM, senza ulteriori preavvisi.
Per altre informazioni sulle nuove API, vedere l'annuncio del blog: le nuove API Microsoft Defender XDR in Microsoft Graph sono ora disponibili in anteprima pubblica.
Documentazione dell'API: Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph
Se si è un cliente che usa l'API SIEM, è consigliabile pianificare ed eseguire la migrazione. Questo articolo include informazioni sulle opzioni disponibili per la migrazione a una funzionalità supportata:
Pull degli avvisi MDE in un sistema esterno (SIEM/SOAR).
Informazioni sulla nuova API avvisi e eventi imprevisti Microsoft Defender XDR
Pull degli avvisi di Defender per endpoint in un sistema esterno
Se si esegue il pull degli avvisi di Defender per endpoint in un sistema esterno, sono disponibili diverse opzioni supportate per offrire alle organizzazioni la flessibilità necessaria per usare la soluzione di propria scelta:
Microsoft Sentinel è una soluzione scalabile, nativa del cloud, siem e sicurezza per orchestrazione, automazione e risposta (SOAR). Offre analisi intelligente della sicurezza e intelligence sulle minacce in tutta l'azienda, offrendo un'unica soluzione per il rilevamento degli attacchi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce. Il connettore Microsoft Defender XDR consente ai clienti di eseguire facilmente il pull di tutti gli eventi imprevisti e gli avvisi da tutti i prodotti Microsoft Defender XDR. Per altre informazioni sull'integrazione, vedere Microsoft Defender XDR l'integrazione con Microsoft Sentinel.
IBM Security QRadar SIEM offre visibilità centralizzata e analisi intelligente della sicurezza per identificare e impedire che minacce e vulnerabilità interrompano le operazioni aziendali. Il team di QRadar SIEM ha appena annunciato il rilascio di un nuovo DSM integrato con la nuova API avvisi Microsoft Defender XDR per eseguire il pull degli avvisi Microsoft Defender per endpoint. I nuovi clienti possono sfruttare il nuovo DSM al momento del rilascio. Per altre informazioni sul nuovo DSM e su come eseguirne facilmente la migrazione, vedere Microsoft Defender XDR - Documentazione IBM.
Splunk SOAR consente ai clienti di orchestrare i flussi di lavoro e automatizzare le attività in pochi secondi per lavorare in modo più intelligente e rispondere più velocemente. Splunk SOAR è integrato con le nuove API Microsoft Defender XDR, inclusa l'API avvisi. Per altre informazioni, vedere Microsoft Defender XDR | Splunkbase
Altre integrazioni sono elencate in Partner tecnologici di Microsoft Defender XDR oppure contattare il provider SIEM/SOAR per informazioni sulle integrazioni fornite.
Chiamata diretta dell'API avvisi Microsoft Defender XDR
La tabella seguente fornisce un mapping tra l'API SIEM e l'API avvisi Microsoft Defender XDR:
PROPRIETÀ DELL'API SIEM | Mapping | Microsoft Defender XDR proprietà DELL'API avviso |
---|---|---|
AlertTime |
-> | createdDateTime |
ComputerDnsName |
-> | evidence/deviceEvidence: deviceDnsName |
AlertTitle |
-> | title |
Category |
-> | category |
Severity |
-> | severity |
AlertId |
-> | id |
Actor |
-> | actorDisplayName |
LinkToWDATP |
-> | alertWebUrl |
IocName |
X | Campi IoC non supportati |
IocValue |
X | Campi IoC non supportati |
CreatorIocName |
X | Campi IoC non supportati |
CreatorIocValue |
X | Campi IoC non supportati |
Sha1 |
-> | evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1) |
FileName |
-> | evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName) |
FilePath |
-> | evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath) |
IPAddress |
-> | evidence/ipEvidence: ipAddress |
URL |
-> | evidence/urlEvidence: url |
IoaDefinitionId |
-> | detectorId |
UserName |
-> | evidence/userEvidence/userAccount: accountName |
AlertPart |
X | Obsoleto (gli avvisi di Defender per endpoint sono atomici/completi aggiornabili, mentre l'API SIEM era record non modificabili di rilevamenti) |
FullId |
X | Campi IoC non supportati |
LastProcessedTimeUtc |
-> | lastActivityDateTime |
ThreatCategory |
-> | mitreTechniques [] |
ThreatFamilyName |
-> | threatFamilyName |
ThreatName |
-> | threatDisplayName |
RemediationAction |
-> | evidence: remediationStatus |
RemediationIsSuccess |
-> | evidence: remediationStatus (implied) |
Source |
-> | detectionSource (use with serviceSource: microsoftDefenderForEndpoint) |
Md5 |
X | Non supportato |
Sha256 |
-> | evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256) |
WasExecutingWhileDetected |
-> | evidence/processEvidence: detectionStatus |
UserDomain |
-> | evidence/userEvidence/userAccount: domainName |
LogOnUsers |
-> | evidence/deviceEvidence: loggedOnUsers [] |
MachineDomain |
-> | Incluso in evidence/deviceEvidence: deviceDnsName |
MachineName |
-> | Incluso in evidence/deviceEvidence: deviceDnsName |
InternalIPV4List |
X | Non supportato |
InternalIPV6List |
X | Non supportato |
FileHash |
-> | Usare sha1 o sha256 |
DeviceID |
-> | evidence/deviceEvidence: mdeDeviceId |
MachineGroup |
-> | evidence/deviceEvidence: rbacGroupName |
Description |
-> | description |
DeviceCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CloudCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CommandLine |
-> | evidence/processEvidence: processCommandLine |
IncidentLinkToWDATP |
-> | incidentWebUrl |
ReportId |
X | Obsoleto (gli avvisi di Defender per endpoint sono atomici/completi aggiornabili, mentre l'API SIEM era record non modificabili di rilevamenti) |
LinkToMTP |
-> | alertWebUrl |
IncidentLinkToMTP |
-> | incidentWebUrl |
ExternalId |
X | Obsoleto |
IocUniqueId |
X | Campi IoC non supportati |
Inserire avvisi usando gli strumenti di gestione delle informazioni di sicurezza e degli eventi (SIEM)
Nota
Microsoft Defender per endpoint avviso è costituito da uno o più eventi sospetti o dannosi che si sono verificati nel dispositivo e i relativi dettagli correlati. L'API avviso Microsoft Defender per endpoint è l'API più recente per l'utilizzo degli avvisi e contiene un elenco dettagliato delle evidenze correlate per ogni avviso. Per altre informazioni, vedere Metodi di avviso e proprietà e Avvisi elenco.
Microsoft Defender per endpoint supporta gli strumenti siem (Security Information and Event Management) che inserino informazioni dal tenant aziendale in Microsoft Entra ID usando il protocollo di autenticazione OAuth 2.0 per un Microsoft Entra registrato applicazione che rappresenta la soluzione o il connettore SIEM specifico installato nell'ambiente.
Per ulteriori informazioni consulta:
- Microsoft Defender per endpoint licenza e condizioni per l'utilizzo delle API
- Accedere a API di Microsoft Defender per endpoint
- Hello World esempio (descrive come registrare un'applicazione in Microsoft Entra ID)
- Ottenere l'accesso con il contesto delle applicazioni
- integrazione siem Microsoft Defender XDR
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.