次の方法で共有

DEFENDER FOR CLOUD APPS SIEM エージェントからサポートされている API に移行する

レガシ Defender for Cloud Apps SIEM エージェントからサポートされている API に移行すると、エンリッチされたアクティビティとアラート データへの継続的なアクセスが可能になります。 API には、従来の Common Event Format (CEF) スキーマへの正確な 1 対 1 のマッピングがない場合があります。これらの API は、複数のMicrosoft Defender ワークロード間の統合を通じて包括的で強化されたデータを提供します。

Microsoft Defender for Cloud Apps SIEM エージェントを通じて現在利用可能なデータへの継続性とアクセスを確保するには、次のサポートされている API に移行することをお勧めします。

レガシ SIEM からサポートされている API へのフィールド マッピング

次の表は、従来の SIEM エージェントの CEF フィールドを、Defender XDR ストリーミング API (高度なハンティング イベント スキーマ) と Microsoft Graph セキュリティ アラート API の最も近い同等のフィールドと比較したものです。

CEF フィールド (MDA SIEM) 説明 Defender XDR ストリーミング API (CloudAppEvents/AlertEvidence/AlertInfo) Graph Security Alerts API (v2)
start アクティビティまたはアラートのタイムスタンプ Timestamp firstActivityDateTime
end アクティビティまたはアラートのタイムスタンプ なし lastActivityDateTime
rt アクティビティまたはアラートのタイムスタンプ createdDateTime createdDateTime / lastUpdateDateTime / resolvedDateTime
msg 人間が判読できる形式でポータルに表示されるアラートまたはアクティビティの説明 同様の説明に貢献する最も近い構造化フィールド: actorDisplayNameObjectNameActionTypeActivityType description
suser アクティビティまたはアラートの件名ユーザー AccountObjectId, AccountId, AccountDisplayName リソースの種類 userEvidence 参照
destinationServiceName 元のアプリからのアクティビティまたはアラート (SharePoint、Box など) CloudAppEvents > Application リソースの種類 cloudApplicationEvidence 参照
cs<X>Label, cs<X> アラートまたはアクティビティの動的フィールド (ターゲット ユーザー、オブジェクトなど) Entities, Evidence, additionalData, ActivityObjects さまざまな alertEvidence リソースの種類
EVENT_CATEGORY_* 高レベルのアクティビティ カテゴリ ActivityType / ActionType category
<name> 一致したポリシー名 Title, alertPolicyId Title, alertPolicyId
<ACTION> (アクティビティ) 特定のアクティビティの種類 ActionType 該当なし
externalId (アクティビティ) イベント ID ReportId 該当なし
requestClientApplication (アクティビティ) アクティビティ内のクライアント デバイスのユーザー エージェント UserAgent 該当なし
Dvc (アクティビティ) クライアント デバイス IP IPAddress 該当なし
externalId (アラート) アラート ID AlertId id
<alert type> アラートの種類 (たとえば、ALERT_CABINET_EVENT_MATCH_AUDI) - -
Src / c6a1 (アラート) 接続元 IP IPAddress ipEvidence リソースの種類

関連コンテンツ