MDE SIEM API에서 Microsoft Defender XDR 경고 API로 마이그레이션
적용 대상:
모든 경고에 새 Microsoft Defender XDR API 사용
MS Graph에서 공개 미리 보기로 릴리스된 Microsoft Defender XDR 경고 API는 SIEM API에서 마이그레이션하는 고객에게 공식적이고 권장되는 API입니다. 이 API를 사용하면 고객이 단일 통합을 사용하여 모든 Microsoft Defender XDR 제품에서 경고를 사용할 수 있습니다. 새 API는 2023년 1분기까지 GA(일반 공급)에 도달할 것으로 예상됩니다.
SIEM API는 2023년 12월 31일에 더 이상 사용되지 않습니다. "사용되지 않음"으로 선언되었지만 "사용 중지"되지는 않습니다. 즉, 이 날짜까지 SIEM API는 기존 고객에 대해 계속 작동합니다. 사용 중단 날짜 이후에도 SIEM API는 계속 사용할 수 있지만 보안 관련 수정에 대해서만 지원됩니다.
원래 사용 중단 발표 3년 후인 2024년 12월 31일부터 추가 통지 없이 SIEM API를 해제할 권리가 있습니다.
새 API에 대한 자세한 내용은 블로그 공지 사항: Microsoft Graph의 새 Microsoft Defender XDR API를 공개 미리 보기에서 사용할 수 있습니다!
API 설명서: Microsoft Graph 보안 API 사용 - Microsoft Graph
SIEM API를 사용하는 고객인 경우 마이그레이션을 계획하고 실행하는 것이 좋습니다. 이 문서에는 지원되는 기능으로 마이그레이션하는 데 사용할 수 있는 옵션에 대한 정보가 포함되어 있습니다.
MDE 경고를 외부 시스템(SIEM/SOAR)으로 끌어다 줍니다.
새 Microsoft Defender XDR 경고 및 인시던트 API에 대해 읽어보세요.
엔드포인트용 Defender 경고를 외부 시스템으로 끌어다
엔드포인트용 Defender 경고를 외부 시스템으로 끌어들이는 경우 조직에서 선택한 솔루션을 유연하게 사용할 수 있도록 지원하는 몇 가지 옵션이 있습니다.
Microsoft Sentinel 은 확장 가능한 클라우드 네이티브 SIEM 및 SOAR(보안 오케스트레이션, 자동화 및 응답) 솔루션입니다. 기업 전체에 지능형 보안 분석 및 위협 인텔리전스를 제공하여 공격 탐지, 위협 가시성, 사전 예방적 헌팅 및 위협 대응을 위한 단일 솔루션을 제공합니다. Microsoft Defender XDR 커넥터를 사용하면 고객이 모든 Microsoft Defender XDR 제품의 모든 인시던트 및 경고를 쉽게 가져올 수 있습니다. 통합에 대한 자세한 내용은 Microsoft Sentinel과의 Microsoft Defender XDR 통합을 참조하세요.
IBM 보안 QRadar SIEM은 위협과 취약성이 비즈니스 운영을 방해하는 것을 식별하고 방지하기 위해 중앙 집중식 가시성 및 지능형 보안 분석을 제공합니다. QRadar SIEM 팀은 새 Microsoft Defender XDR 경고 API와 통합되어 엔드포인트용 Microsoft Defender 경고를 끌어오는 새 DSM의 릴리스를 발표했습니다. 새 고객은 릴리스 시 새 DSM을 활용할 수 있습니다. 새 DSM에 대해 자세히 알아보고 Microsoft Defender XDR - IBM 설명서에서 쉽게 마이그레이션하는 방법을 알아봅니다.
Splunk SOAR 을 사용하면 고객이 워크플로를 오케스트레이션하고 작업을 몇 초 만에 자동화하여 더 스마트하게 작동하고 더 빠르게 대응할 수 있습니다. Splunk SOAR는 경고 API를 포함하여 새로운 Microsoft Defender XDR API와 통합됩니다. 자세한 내용은 Microsoft Defender XDR | Splunkbase
다른 통합은 Microsoft Defender XDR 기술 파트너에 나열되거나 SIEM/SOAR 공급자에게 문의하여 제공하는 통합에 대해 알아봅니다.
Microsoft Defender XDR 경고 API 직접 호출
아래 표에서는 SIEM API와 Microsoft Defender XDR 경고 API 간의 매핑을 제공합니다.
| SIEM API 속성 | 매핑 | 경고 API 속성 Microsoft Defender XDR |
|---|---|---|
AlertTime |
-> | createdDateTime |
ComputerDnsName |
-> | evidence/deviceEvidence: deviceDnsName |
AlertTitle |
-> | title |
Category |
-> | category |
Severity |
-> | severity |
AlertId |
-> | id |
Actor |
-> | actorDisplayName |
LinkToWDATP |
-> | alertWebUrl |
IocName |
X | IoC 필드가 지원되지 않음 |
IocValue |
X | IoC 필드가 지원되지 않음 |
CreatorIocName |
X | IoC 필드가 지원되지 않음 |
CreatorIocValue |
X | IoC 필드가 지원되지 않음 |
Sha1 |
-> | evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1) |
FileName |
-> | evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName) |
FilePath |
-> | evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath) |
IPAddress |
-> | evidence/ipEvidence: ipAddress |
URL |
-> | evidence/urlEvidence: url |
IoaDefinitionId |
-> | detectorId |
UserName |
-> | evidence/userEvidence/userAccount: accountName |
AlertPart |
X | 사용되지 않음(엔드포인트용 Defender 경고는 업데이트할 수 있는 원자성/완전하지만 SIEM API는 변경할 수 없는 검색 레코드임) |
FullId |
X | IoC 필드가 지원되지 않음 |
LastProcessedTimeUtc |
-> | lastActivityDateTime |
ThreatCategory |
-> | mitreTechniques [] |
ThreatFamilyName |
-> | threatFamilyName |
ThreatName |
-> | threatDisplayName |
RemediationAction |
-> | evidence: remediationStatus |
RemediationIsSuccess |
-> | evidence: remediationStatus (implied) |
Source |
-> | detectionSource (use with serviceSource: microsoftDefenderForEndpoint) |
Md5 |
X | 지원되지 않음 |
Sha256 |
-> | evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256) |
WasExecutingWhileDetected |
-> | evidence/processEvidence: detectionStatus |
UserDomain |
-> | evidence/userEvidence/userAccount: domainName |
LogOnUsers |
-> | evidence/deviceEvidence: loggedOnUsers [] |
MachineDomain |
-> | 에 포함됨 evidence/deviceEvidence: deviceDnsName |
MachineName |
-> | 에 포함됨 evidence/deviceEvidence: deviceDnsName |
InternalIPV4List |
X | 지원되지 않음 |
InternalIPV6List |
X | 지원되지 않음 |
FileHash |
-> | 또는 사용 sha1sha256 |
DeviceID |
-> | evidence/deviceEvidence: mdeDeviceId |
MachineGroup |
-> | evidence/deviceEvidence: rbacGroupName |
Description |
-> | description |
DeviceCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CloudCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CommandLine |
-> | evidence/processEvidence: processCommandLine |
IncidentLinkToWDATP |
-> | incidentWebUrl |
ReportId |
X | 사용되지 않음(엔드포인트용 Defender 경고는 업데이트할 수 있는 원자성/완전하지만 SIEM API는 변경할 수 없는 검색 레코드임) |
LinkToMTP |
-> | alertWebUrl |
IncidentLinkToMTP |
-> | incidentWebUrl |
ExternalId |
X | 되지 않는 |
IocUniqueId |
X | IoC 필드가 지원되지 않음 |
SIEM(보안 정보 및 이벤트 관리) 도구를 사용하여 경고 수집
참고
엔드포인트용 Microsoft Defender 경고는 디바이스에서 발생한 하나 이상의 의심스럽거나 악의적인 이벤트와 관련 세부 정보로 구성됩니다. 엔드포인트용 Microsoft Defender 경고 API는 경고 사용에 대한 최신 API이며 각 경고에 대한 자세한 관련 증거 목록을 포함합니다. 자세한 내용은 경고 메서드 및 속성 및경고 나열을 참조하세요.
엔드포인트용 Microsoft Defender 등록된 Microsoft Entra OAuth 2.0 인증 프로토콜을 사용하여 Microsoft Entra ID 엔터프라이즈 테넌트에서 정보를 수집하는 SIEM(보안 정보 및 이벤트 관리) 도구를 지원합니다. 환경에 설치된 특정 SIEM 솔루션 또는 커넥터를 나타내는 애플리케이션입니다.
자세한 내용은 다음 항목을 참조하세요.
- 엔드포인트용 Microsoft Defender API 라이선스 및 사용 약관
- 엔드포인트용 Microsoft Defender API에 액세스
- 헬로 월드 예제(Microsoft Entra ID 애플리케이션을 등록하는 방법을 설명합니다.)
- 응용 프로그램 컨텍스트를 사용하여 액세스
- SIEM 통합 Microsoft Defender XDR
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.