다음을 통해 공유


Graph API 사용하여 인시던트 알림에 액세스

적용 대상:

Defender 전문가 알림 은 사용자 환경에서 Defender 전문가가 수행한 헌팅에서 생성된 인시던트입니다. 여기에는 헌팅 조사 및 Defender 전문가가 제공한 권장 작업에 대한 정보가 포함되어 있습니다. 이제 Microsoft Graph 보안 API를 사용하여 DEN에 액세스할 수 있습니다.

참고

Microsoft Defender 포털의 모든 인시던트 는 상관 관계가 있는 경고의 컬렉션입니다. 자세한 정보

다음 Defender 전문가 알림 세부 정보는 Microsoft Defender 포털에서 확인할 수 있습니다.

  • 인시던트 제목 - Defender 전문가 알림과 다른 인시던트 구분을 위한 Defender 전문가로 시작
  • 요약 - 조사 요약 개요를 제공합니다.
  • 권장 사항 요약 - Defender 전문가의 권장 작업을 나열합니다.
  • 고급 헌팅 쿼리 - 조사에 사용되는 변환된 KQL 헌팅 쿼리를 나열합니다.

Microsoft Graph 보안 API에서는 다음 필드도 사용할 수 있습니다.

참고

이러한 필드는 곧 Graph v1.0 엔드포인트에서 사용할 수 있습니다. 자세한 내용은 Microsoft Graph REST API v1.0을 참조하세요.

API에서 Defender 전문가 알림을 사용하는 방법은 사용하려는 다운스트림 시스템과 특정 요구 사항에 따라 달라집니다. 그러나 다음 단계는 시작하는 데 도움이 되는 기본 구현입니다.

Graph API 인시던트부터 시작

  1. Graph 보안 API에서 인시던트 가져오기
  2. displayNameDefender 전문가로 시작되는 새 인시던트에 대해 확인합니다.
  3. 이러한 인시던트에 대한 나머지 필드를 계속 읽습니다.
  4. DEN(Defender 전문가 알림) 정보를 다운스트림 도구(예: ServiceNow)에 동기화합니다.

Graph API 경고에서 시작

  1. Graph 보안 API에서 경고를 가져옵니다.
  2. detectionSourcemicrosoftThreatExperts로 시작하는 새 경고를 확인합니다.
  3. 경고에 나열된 incidentId 를 확인하여 해당 인시던트 조회
  4. 이러한 인시던트에 대한 나머지 필드를 계속 읽습니다.
  5. DEN(Defender 전문가 알림) 정보를 다운스트림 도구(예: ServiceNow)에 동기화합니다.

다음 단계

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.