MDE SIEM API에서 Microsoft Defender XDR 경고 API로 마이그레이션
적용 대상:
MS Graph에서 공개 미리 보기로 릴리스된 Microsoft Defender XDR 경고 API는 SIEM API에서 마이그레이션하는 고객에게 공식적이고 권장되는 API입니다. 이 API를 사용하면 고객이 단일 통합을 사용하여 모든 Microsoft Defender XDR 제품에서 경고를 사용할 수 있습니다. 새 API는 2023년 1분기까지 GA(일반 공급)에 도달할 것으로 예상됩니다.
SIEM API는 2023년 12월 31일에 더 이상 사용되지 않습니다. "사용되지 않음"으로 선언되었지만 "사용 중지"되지는 않습니다. 즉, 이 날짜까지 SIEM API는 기존 고객에 대해 계속 작동합니다. 사용 중단 날짜 이후에도 SIEM API는 계속 사용할 수 있지만 보안 관련 수정에 대해서만 지원됩니다.
원래 사용 중단 발표 3년 후인 2024년 12월 31일부터 추가 통지 없이 SIEM API를 해제할 권리가 있습니다.
새 API에 대한 자세한 내용은 블로그 공지 사항: Microsoft Graph의 새 Microsoft Defender XDR API를 공개 미리 보기에서 사용할 수 있습니다!
API 설명서: Microsoft Graph 보안 API 사용 - Microsoft Graph
SIEM API를 사용하는 고객인 경우 마이그레이션을 계획하고 실행하는 것이 좋습니다. 이 문서에는 지원되는 기능으로 마이그레이션하는 데 사용할 수 있는 옵션에 대한 정보가 포함되어 있습니다.
MDE 경고를 외부 시스템(SIEM/SOAR)으로 끌어다 줍니다.
새 Microsoft Defender XDR 경고 및 인시던트 API에 대해 읽어보세요.
엔드포인트용 Defender 경고를 외부 시스템으로 끌어들이는 경우 조직에서 선택한 솔루션을 유연하게 사용할 수 있도록 지원하는 몇 가지 옵션이 있습니다.
Microsoft Sentinel 은 확장 가능한 클라우드 네이티브 SIEM 및 SOAR(보안 오케스트레이션, 자동화 및 응답) 솔루션입니다. 기업 전체에 지능형 보안 분석 및 위협 인텔리전스를 제공하여 공격 탐지, 위협 가시성, 사전 예방적 헌팅 및 위협 대응을 위한 단일 솔루션을 제공합니다. Microsoft Defender XDR 커넥터를 사용하면 고객이 모든 Microsoft Defender XDR 제품의 모든 인시던트 및 경고를 쉽게 가져올 수 있습니다. 통합에 대한 자세한 내용은 Microsoft Sentinel과의 Microsoft Defender XDR 통합을 참조하세요.
IBM 보안 QRadar SIEM은 위협과 취약성이 비즈니스 운영을 방해하는 것을 식별하고 방지하기 위해 중앙 집중식 가시성 및 지능형 보안 분석을 제공합니다. QRadar SIEM 팀은 새 Microsoft Defender XDR 경고 API와 통합되어 엔드포인트용 Microsoft Defender 경고를 끌어오는 새 DSM의 릴리스를 발표했습니다. 새 고객은 릴리스 시 새 DSM을 활용할 수 있습니다. 새 DSM에 대해 자세히 알아보고 Microsoft Defender XDR - IBM 설명서에서 쉽게 마이그레이션하는 방법을 알아봅니다.
Splunk SOAR 을 사용하면 고객이 워크플로를 오케스트레이션하고 작업을 몇 초 만에 자동화하여 더 스마트하게 작동하고 더 빠르게 대응할 수 있습니다. Splunk SOAR는 경고 API를 포함하여 새로운 Microsoft Defender XDR API와 통합됩니다. 자세한 내용은 Microsoft Defender XDR | Splunkbase
다른 통합은 Microsoft Defender XDR 기술 파트너에 나열되거나 SIEM/SOAR 공급자에게 문의하여 제공하는 통합에 대해 알아봅니다.
아래 표에서는 SIEM API와 Microsoft Defender XDR 경고 API 간의 매핑을 제공합니다.
SIEM API 속성 | 매핑 | 경고 API 속성 Microsoft Defender XDR |
---|---|---|
AlertTime |
-> | createdDateTime |
ComputerDnsName |
-> | evidence/deviceEvidence: deviceDnsName |
AlertTitle |
-> | title |
Category |
-> | category |
Severity |
-> | severity |
AlertId |
-> | id |
Actor |
-> | actorDisplayName |
LinkToWDATP |
-> | alertWebUrl |
IocName |
X | IoC 필드가 지원되지 않음 |
IocValue |
X | IoC 필드가 지원되지 않음 |
CreatorIocName |
X | IoC 필드가 지원되지 않음 |
CreatorIocValue |
X | IoC 필드가 지원되지 않음 |
Sha1 |
-> | evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1) |
FileName |
-> | evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName) |
FilePath |
-> | evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath) |
IPAddress |
-> | evidence/ipEvidence: ipAddress |
URL |
-> | evidence/urlEvidence: url |
IoaDefinitionId |
-> | detectorId |
UserName |
-> | evidence/userEvidence/userAccount: accountName |
AlertPart |
X | 사용되지 않음(엔드포인트용 Defender 경고는 업데이트할 수 있는 원자성/완전하지만 SIEM API는 변경할 수 없는 검색 레코드임) |
FullId |
X | IoC 필드가 지원되지 않음 |
LastProcessedTimeUtc |
-> | lastActivityDateTime |
ThreatCategory |
-> | mitreTechniques [] |
ThreatFamilyName |
-> | threatFamilyName |
ThreatName |
-> | threatDisplayName |
RemediationAction |
-> | evidence: remediationStatus |
RemediationIsSuccess |
-> | evidence: remediationStatus (implied) |
Source |
-> | detectionSource (use with serviceSource: microsoftDefenderForEndpoint) |
Md5 |
X | 지원되지 않음 |
Sha256 |
-> | evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256) |
WasExecutingWhileDetected |
-> | evidence/processEvidence: detectionStatus |
UserDomain |
-> | evidence/userEvidence/userAccount: domainName |
LogOnUsers |
-> | evidence/deviceEvidence: loggedOnUsers [] |
MachineDomain |
-> | 에 포함됨 evidence/deviceEvidence: deviceDnsName |
MachineName |
-> | 에 포함됨 evidence/deviceEvidence: deviceDnsName |
InternalIPV4List |
X | 지원되지 않음 |
InternalIPV6List |
X | 지원되지 않음 |
FileHash |
-> | 또는 사용 sha1 sha256 |
DeviceID |
-> | evidence/deviceEvidence: mdeDeviceId |
MachineGroup |
-> | evidence/deviceEvidence: rbacGroupName |
Description |
-> | description |
DeviceCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CloudCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CommandLine |
-> | evidence/processEvidence: processCommandLine |
IncidentLinkToWDATP |
-> | incidentWebUrl |
ReportId |
X | 사용되지 않음(엔드포인트용 Defender 경고는 업데이트할 수 있는 원자성/완전하지만 SIEM API는 변경할 수 없는 검색 레코드임) |
LinkToMTP |
-> | alertWebUrl |
IncidentLinkToMTP |
-> | incidentWebUrl |
ExternalId |
X | 되지 않는 |
IocUniqueId |
X | IoC 필드가 지원되지 않음 |
참고
엔드포인트용 Microsoft Defender 경고는 디바이스에서 발생한 하나 이상의 의심스럽거나 악의적인 이벤트와 관련 세부 정보로 구성됩니다. 엔드포인트용 Microsoft Defender 경고 API는 경고 사용에 대한 최신 API이며 각 경고에 대한 자세한 관련 증거 목록을 포함합니다. 자세한 내용은 경고 메서드 및 속성 및경고 나열을 참조하세요.
엔드포인트용 Microsoft Defender 등록된 Microsoft Entra OAuth 2.0 인증 프로토콜을 사용하여 Microsoft Entra ID 엔터프라이즈 테넌트에서 정보를 수집하는 SIEM(보안 정보 및 이벤트 관리) 도구를 지원합니다. 환경에 설치된 특정 SIEM 솔루션 또는 커넥터를 나타내는 애플리케이션입니다.
자세한 내용은 다음 항목을 참조하세요.
- 엔드포인트용 Microsoft Defender API 라이선스 및 사용 약관
- 엔드포인트용 Microsoft Defender API에 액세스
- 헬로 월드 예제(Microsoft Entra ID 애플리케이션을 등록하는 방법을 설명합니다.)
- 응용 프로그램 컨텍스트를 사용하여 액세스
- SIEM 통합 Microsoft Defender XDR
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.