Få tilgang til hendelsesvarsler ved hjelp av Graph API
Gjelder for:
Defender Experts Notifications er hendelser som er generert fra jakt utført av Defender Experts i ditt miljø. De inneholder informasjon om jaktundersøkelsen og anbefalte handlinger levert av Defender Experts. Nå kan du få tilgang til DEN-er ved hjelp av Microsoft Graph-sikkerhets-API-en.
Obs!
Alle hendelser i Microsoft Defender portalen er en samling av korrelerte varsler. Finn ut mer
Følgende varslingsdetaljer for Defender-eksperter er tilgjengelige i Microsoft Defender-portalen:
- Hendelsestittel - starter med Defender-eksperter for å skille Defender Experts Notifications fra andre hendelser
- Sammendrag – gir en oversikt over undersøkelsessammendraget
- Anbefalingssammendrag – viser anbefalte handlinger fra Defender-eksperter
- Avanserte jaktspørringer - viser de konverterte KQL-jaktspørringene som brukes til undersøkelsen
I Sikkerhets-API for Microsoft Graph er følgende felt også tilgjengelige:
- Grafendepunkt - https://graph.microsoft.com/beta/security/incidents
- Følgende feltnavn som samsvarer med detaljene nevnt tidligere:
- displayName
- Beskrivelse
- recommendedActions
- recommendedHuntingQueries
Obs!
Disse feltene vil snart være tilgjengelige i Graph v1.0-endepunktet. Hvis du vil ha mer informasjon, kan du se Microsoft Graph REST API v1.0
Tilnærmingen din til å bruke Defender Experts Notifications fra API-en varierer avhengig av det nedstrøms systemet du har tenkt å bruke, og dine spesifikke krav. Følgende trinn er imidlertid en grunnleggende implementering for å hjelpe deg med å komme i gang:
Starter fra hendelser i Graph API
- Få hendelser fra Graph Security API.
- Se etter nye hendelser der displayName starter med Defender Experts.
- Fortsett å lese de gjenværende feltene for slike hendelser.
- Synkroniser Informasjonen om Defender Experts Notification (DEN) i nedstrømsverktøyet (for eksempel ServiceNow).
Starter fra varsler i Graph-API-en
- Få varsler fra Graph Security API.
- Se etter nye varsler der detectionSource starter med microsoftThreatExperts.
- Slå opp tilsvarende hendelse ved å sjekke incidentId oppført i varselet.
- Fortsett å lese de gjenværende feltene for slike hendelser.
- Synkroniser Informasjonen om Defender Experts Notification (DEN) i nedstrømsverktøyet (for eksempel ServiceNow).
Neste trinn:
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.