Overføre fra MDE SIEM-API-en til API-en for Microsoft Defender XDR varsler
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
API-en for Microsoft Defender XDR varsler, som utgis til offentlig forhåndsversjon i MS Graph, er den offisielle og anbefalte API-en for kunder som overfører fra SIEM-API-en. Denne API-en gjør det mulig for kunder å arbeide med varsler på tvers av alle Microsoft Defender XDR produkter ved hjelp av én enkelt integrasjon. Vi forventer at den nye API-en når generell tilgjengelighet (GA) innen Q1 CY 2023.
SIEM-API-en ble avskrevet 31. desember 2023. Det er erklært å være "avskrevet", men ikke "pensjonert". Dette betyr at SIEM-API-en fortsetter å fungere for eksisterende kunder frem til denne datoen. Etter avskrivingsdatoen vil SIEM-API-en fortsatt være tilgjengelig, men den støttes bare for sikkerhetsrelaterte løsninger.
Fra og med 31. desember 2024, tre år etter den opprinnelige avviklingskunngjøringen, forbeholder vi oss retten til å slå av SIEM-API-en, uten ytterligere varsel.
Hvis du vil ha mer informasjon om de nye API-ene, kan du se bloggkunngjøringen: De nye Microsoft Defender XDR API-ene i Microsoft Graph er nå tilgjengelige i offentlig forhåndsversjon!
API-dokumentasjon: Bruk Microsoft Graph-sikkerhets-API-en – Microsoft Graph
Hvis du er en kunde som bruker SIEM-API-en, anbefaler vi på det sterkeste at du planlegger og utfører overføringen. Denne artikkelen inneholder informasjon om alternativene som er tilgjengelige for overføring til en støttet funksjon:
Trekke MDE varsler inn i et eksternt system (SIEM/SOAR).
Les om den nye Microsoft Defender XDR varsler og hendelser API
Hvis du drar Defender for endepunktvarsler inn i et eksternt system, finnes det flere alternativer som støttes for å gi organisasjoner fleksibilitet til å arbeide med løsningen de selv velger:
Microsoft Sentinel er en skalerbar, skybasert, SIEM- og Sikkerhets-orkestrerings-, automatiserings- og responsløsning (SOAR). Leverer intelligent sikkerhetsanalyse og trusselintelligens på tvers av virksomheten, og gir én enkelt løsning for angrepsdeteksjon, trusselsynlighet, proaktiv jakt og trusselrespons. Den Microsoft Defender XDR koblingen gjør det mulig for kunder å enkelt trekke inn alle sine hendelser og varsler fra alle Microsoft Defender XDR produkter. Hvis du vil ha mer informasjon om integreringen, kan du se Microsoft Defender XDR integrering med Microsoft Sentinel.
IBM Security QRadar SIEM gir sentralisert synlighet og intelligent sikkerhetsanalyse for å identifisere og forhindre trusler og sårbarheter fra å forstyrre forretningsdriften. QRadar SIEM-teamet har nettopp kunngjort utgivelsen av en ny DSM som er integrert med den nye Microsoft Defender XDR varsler API for å trekke inn Microsoft Defender for endepunkt varsler. Nye kunder er velkommen til å dra nytte av den nye DSM ved utgivelsen. Mer informasjon om den nye DSM og hvordan du enkelt kan overføre til den på Microsoft Defender XDR – IBM-dokumentasjon.
Splunk SOAR hjelper kunder med å organisere arbeidsflyter og automatisere oppgaver på sekunder for å arbeide smartere og svare raskere. Splunk SOAR er integrert med den nye Microsoft Defender XDR API-ene, inkludert API-en for varsler. Hvis du vil ha mer informasjon, kan du se Microsoft Defender XDR | Splunkbase
Andre integreringer er oppført i teknologiske partnere av Microsoft Defender XDR, eller kontakt SIEM / SOAR-leverandøren for å lære om integreringer de tilbyr.
Tabellen nedenfor gir en tilordning mellom SIEM-API-en til API-en for Microsoft Defender XDR varsler:
SIEM-API-egenskap | Kartlegging | API-egenskapen Microsoft Defender XDR varsel |
---|---|---|
AlertTime |
-> | createdDateTime |
ComputerDnsName |
-> | evidence/deviceEvidence: deviceDnsName |
AlertTitle |
-> | title |
Category |
-> | category |
Severity |
-> | severity |
AlertId |
-> | id |
Actor |
-> | actorDisplayName |
LinkToWDATP |
-> | alertWebUrl |
IocName |
X | IoC-felt støttes ikke |
IocValue |
X | IoC-felt støttes ikke |
CreatorIocName |
X | IoC-felt støttes ikke |
CreatorIocValue |
X | IoC-felt støttes ikke |
Sha1 |
-> | evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1) |
FileName |
-> | evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName) |
FilePath |
-> | evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath) |
IPAddress |
-> | evidence/ipEvidence: ipAddress |
URL |
-> | evidence/urlEvidence: url |
IoaDefinitionId |
-> | detectorId |
UserName |
-> | evidence/userEvidence/userAccount: accountName |
AlertPart |
X | Foreldet (Defender for Endpoint-varsler er atom-/fullstendige som kan oppdateres, mens SIEM-API-en var uforanderlige registreringer av gjenkjenninger) |
FullId |
X | IoC-felt støttes ikke |
LastProcessedTimeUtc |
-> | lastActivityDateTime |
ThreatCategory |
-> | mitreTechniques [] |
ThreatFamilyName |
-> | threatFamilyName |
ThreatName |
-> | threatDisplayName |
RemediationAction |
-> | evidence: remediationStatus |
RemediationIsSuccess |
-> | evidence: remediationStatus (implied) |
Source |
-> | detectionSource (use with serviceSource: microsoftDefenderForEndpoint) |
Md5 |
X | Støttes ikke |
Sha256 |
-> | evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256) |
WasExecutingWhileDetected |
-> | evidence/processEvidence: detectionStatus |
UserDomain |
-> | evidence/userEvidence/userAccount: domainName |
LogOnUsers |
-> | evidence/deviceEvidence: loggedOnUsers [] |
MachineDomain |
-> | Inkludert i evidence/deviceEvidence: deviceDnsName |
MachineName |
-> | Inkludert i evidence/deviceEvidence: deviceDnsName |
InternalIPV4List |
X | Støttes ikke |
InternalIPV6List |
X | Støttes ikke |
FileHash |
-> | Bruk sha1 eller sha256 |
DeviceID |
-> | evidence/deviceEvidence: mdeDeviceId |
MachineGroup |
-> | evidence/deviceEvidence: rbacGroupName |
Description |
-> | description |
DeviceCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CloudCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CommandLine |
-> | evidence/processEvidence: processCommandLine |
IncidentLinkToWDATP |
-> | incidentWebUrl |
ReportId |
X | Foreldet (Defender for Endpoint-varsler er atom-/fullstendige som kan oppdateres, mens SIEM-API-en var uforanderlige registreringer av gjenkjenninger) |
LinkToMTP |
-> | alertWebUrl |
IncidentLinkToMTP |
-> | incidentWebUrl |
ExternalId |
X | Foreldet |
IocUniqueId |
X | IoC-felt støttes ikke |
Obs!
Microsoft Defender for endepunkt Varselet er skrevet fra én eller flere mistenkelige eller ondsinnede hendelser som oppstod på enheten og tilhørende detaljer. API-en for Microsoft Defender for endepunkt varsel er den nyeste API-en for varslingsforbruk og inneholder en detaljert liste over relaterte bevis for hvert varsel. Hvis du vil ha mer informasjon, kan du se Varselmetoder og egenskaper og Listevarsler.
Microsoft Defender for endepunkt støtter siem-verktøy (Security Information and Event Management) som inntar informasjon fra bedriftsleieren i Microsoft Entra ID ved hjelp av godkjenningsprotokollen OAuth 2.0 for en registrert Microsoft Entra program som representerer den spesifikke SIEM-løsningen eller koblingen som er installert i miljøet ditt.
Hvis du vil ha mer informasjon, kan du se:
- Microsoft Defender for endepunkt API-lisens og vilkår for bruk
- Få tilgang til de Microsoft Defender for endepunkt API-ene
- Hello World eksempel (beskriver hvordan du registrerer et program i Microsoft Entra ID)
- Få tilgang med programkontekst
- Microsoft Defender XDR SIEM-integrering
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.