次の方法で共有


MDE SIEM API から Microsoft Defender XDR アラート API に移行する

適用対象:

すべてのアラートに新しいMicrosoft Defender XDR API を使用する

MS Graph でパブリック プレビューにリリースされたMicrosoft Defender XDRアラート API は、SIEM API から移行するお客様向けの公式かつ推奨される API です。 この API を使用すると、1 つの統合を使用して、すべてのMicrosoft Defender XDR製品のアラートを操作できます。 新しい API は、2023 年第 1 四半期までに一般公開 (GA) に達することを期待しています。

SIEM API は、2023 年 12 月 31 日に非推奨になりました。 "非推奨" として宣言されていますが、"廃止" は宣言されていません。つまり、この日付まで、SIEM API は既存の顧客に対して引き続き機能します。 廃止日以降も SIEM API は引き続き使用できますが、セキュリティ関連の修正プログラムでのみサポートされます。

元の非推奨発表から 3 年後の 2024 年 12 月 31 日に、当社は、さらなる通知なしに SIEM API をオフにする権利を留保します。

新しい API の詳細については、ブログのお知らせ「Microsoft Graph の新しいMicrosoft Defender XDR API がパブリック プレビューで利用可能になりました」を参照してください。

API ドキュメント: Microsoft Graph セキュリティ API を使用する - Microsoft Graph

SIEM API を使用しているお客様の場合は、移行の計画と実行を強くお勧めします。 この記事には、サポートされている機能に移行するために使用できるオプションに関する情報が含まれています。

  1. MDEアラートを外部システム (SIEM/SOAR) にプルする。

  2. Microsoft Defender XDR アラート API を直接呼び出す

新しいMicrosoft Defender XDRアラートとインシデント API について読む

Defender for Endpoint アラートを外部システムにプルする

Defender for Endpoint アラートを外部システムに取り込む場合は、組織が選択したソリューションを柔軟に操作できるように、いくつかのオプションがサポートされています。

  1. Microsoft Sentinel は、スケーラブルなクラウドネイティブの SIEM およびセキュリティ オーケストレーション、自動化、応答 (SOAR) ソリューションです。 インテリジェントなセキュリティ分析と脅威インテリジェンスを企業全体に提供し、攻撃検出、脅威の可視性、プロアクティブハンティング、脅威対応のための単一のソリューションを提供します。 Microsoft Defender XDRコネクタを使用すると、顧客はすべてのMicrosoft Defender XDR製品からすべてのインシデントとアラートを簡単に取り込めます。 統合の詳細については、「Microsoft Sentinel との統合Microsoft Defender XDR」を参照してください。

  2. IBM Security QRadar SIEM では、一元的な可視性とインテリジェントなセキュリティ分析が提供され、脅威や脆弱性がビジネス運用を中断するのを特定して防止します。 QRadar SIEM チームは、新しいMicrosoft Defender XDRアラート API と統合された新しい DSM のリリースを発表し、Microsoft Defender for Endpointアラートをプルしました。 新しいお客様は、リリース時に新しい DSM を利用できます。 新しい DSM の詳細と、簡単に移行する方法については、「Microsoft Defender XDR IBM ドキュメント」を参照してください

  3. Splunk SOAR は、お客様がワークフローを調整し、数秒でタスクを自動化して、よりスマートに作業し、迅速に対応できるようにします。 Splunk SOAR は、アラート API を含む新しいMicrosoft Defender XDR API と統合されています。 詳細については、「Microsoft Defender XDR |Splunkbase

その他の統合は、Microsoft Defender XDRの技術パートナーに記載されているか、SIEM/SOAR プロバイダーに連絡して、提供される統合について確認してください。

Microsoft Defender XDR アラート API を直接呼び出す

次の表は、SIEM API とMicrosoft Defender XDR アラート API の間のマッピングを示しています。

SIEM API プロパティ マッピング アラート API プロパティのMicrosoft Defender XDR
AlertTime -> createdDateTime
ComputerDnsName -> evidence/deviceEvidence: deviceDnsName
AlertTitle -> title
Category -> category
Severity -> severity
AlertId -> id
Actor -> actorDisplayName
LinkToWDATP -> alertWebUrl
IocName X IoC フィールドはサポートされていません
IocValue X IoC フィールドはサポートされていません
CreatorIocName X IoC フィールドはサポートされていません
CreatorIocValue X IoC フィールドはサポートされていません
Sha1 -> evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName -> evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath -> evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress -> evidence/ipEvidence: ipAddress
URL -> evidence/urlEvidence: url
IoaDefinitionId -> detectorId
UserName -> evidence/userEvidence/userAccount: accountName
AlertPart X 廃止されました (Defender for Endpoint アラートは、更新可能なアトミック/コンプリートですが、SIEM API は検出の変更できないレコードでした)
FullId X IoC フィールドはサポートされていません
LastProcessedTimeUtc -> lastActivityDateTime
ThreatCategory -> mitreTechniques []
ThreatFamilyName -> threatFamilyName
ThreatName -> threatDisplayName
RemediationAction -> evidence: remediationStatus
RemediationIsSuccess -> evidence: remediationStatus (implied)
Source -> detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5 X 非サポート
Sha256 -> evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected -> evidence/processEvidence: detectionStatus
UserDomain -> evidence/userEvidence/userAccount: domainName
LogOnUsers -> evidence/deviceEvidence: loggedOnUsers []
MachineDomain -> に含まれる evidence/deviceEvidence: deviceDnsName
MachineName -> に含まれる evidence/deviceEvidence: deviceDnsName
InternalIPV4List X 非サポート
InternalIPV6List X 非サポート
FileHash -> sha1またはsha256を使用する
DeviceID -> evidence/deviceEvidence: mdeDeviceId
MachineGroup -> evidence/deviceEvidence: rbacGroupName
Description -> description
DeviceCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CommandLine -> evidence/processEvidence: processCommandLine
IncidentLinkToWDATP -> incidentWebUrl
ReportId X 廃止されました (Defender for Endpoint アラートは、更新可能なアトミック/コンプリートですが、SIEM API は検出の変更できないレコードでした)
LinkToMTP -> alertWebUrl
IncidentLinkToMTP -> incidentWebUrl
ExternalId X 現在不使用
IocUniqueId X IoC フィールドはサポートされていません

セキュリティ情報とイベント管理 (SIEM) ツールを使用してアラートを取り込む

注:

Microsoft Defender for Endpointアラートは、デバイス上で発生した 1 つ以上の疑わしいイベントまたは悪意のあるイベントとそれに関連する詳細から構成されます。 Microsoft Defender for Endpoint Alert API は、アラートを使用するための最新の API であり、各アラートに関連する証拠の詳細な一覧が含まれています。 詳細については、「アラートのメソッドとプロパティ」および「アラートの一覧表示」を参照してください。

Microsoft Defender for Endpointは、登録されたMicrosoft Entraの OAuth 2.0 認証プロトコルを使用して、Microsoft Entra IDのエンタープライズ テナントから情報を取り込むセキュリティ情報とイベント管理 (SIEM) ツールをサポートします。環境にインストールされている特定の SIEM ソリューションまたはコネクタを表すアプリケーション。

詳細については、以下を参照してください:

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。