Overføre fra MDE SIEM-API-en til API-en for Microsoft Defender XDR varsler

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR

Bruk den nye Microsoft Defender XDR-API-en for alle varslene dine

API-en for Microsoft Defender XDR varsler, som utgis til offentlig forhåndsversjon i MS Graph, er den offisielle og anbefalte API-en for kunder som overfører fra SIEM-API-en. Denne API-en gjør det mulig for kunder å arbeide med varsler på tvers av alle Microsoft Defender XDR produkter ved hjelp av én enkelt integrasjon. Vi forventer at den nye API-en når generell tilgjengelighet (GA) innen Q1 CY 2023.

SIEM-API-en ble avskrevet 31. desember 2023. Det er erklært å være "avskrevet", men ikke "pensjonert". Dette betyr at SIEM-API-en fortsetter å fungere for eksisterende kunder frem til denne datoen. Etter avskrivingsdatoen vil SIEM-API-en fortsatt være tilgjengelig, men den støttes bare for sikkerhetsrelaterte løsninger.

Fra og med 31. desember 2024, tre år etter den opprinnelige avviklingskunngjøringen, forbeholder vi oss retten til å slå av SIEM-API-en, uten ytterligere varsel.

Hvis du vil ha mer informasjon om de nye API-ene, kan du se bloggkunngjøringen: De nye Microsoft Defender XDR API-ene i Microsoft Graph er nå tilgjengelige i offentlig forhåndsversjon!

API-dokumentasjon: Bruk Microsoft Graph-sikkerhets-API-en – Microsoft Graph

Hvis du er en kunde som bruker SIEM-API-en, anbefaler vi på det sterkeste at du planlegger og utfører overføringen. Denne artikkelen inneholder informasjon om alternativene som er tilgjengelige for overføring til en støttet funksjon:

1. Trekke MDE varsler inn i et eksternt system (SIEM/SOAR).

2. Kaller API-en for Microsoft Defender XDR varsler direkte.

Les om den nye Microsoft Defender XDR varsler og hendelser API

Trekke Defender for endepunktvarsler inn i et eksternt system

Hvis du drar Defender for endepunktvarsler inn i et eksternt system, finnes det flere alternativer som støttes for å gi organisasjoner fleksibilitet til å arbeide med løsningen de selv velger:

1. Microsoft Sentinel er en skalerbar, skybasert, SIEM- og Sikkerhets-orkestrerings-, automatiserings- og responsløsning (SOAR). Leverer intelligent sikkerhetsanalyse og trusselintelligens på tvers av virksomheten, og gir én enkelt løsning for angrepsdeteksjon, trusselsynlighet, proaktiv jakt og trusselrespons. Den Microsoft Defender XDR koblingen gjør det mulig for kunder å enkelt trekke inn alle sine hendelser og varsler fra alle Microsoft Defender XDR produkter. Hvis du vil ha mer informasjon om integreringen, kan du se Microsoft Defender XDR integrering med Microsoft Sentinel.

2. IBM Security QRadar SIEM gir sentralisert synlighet og intelligent sikkerhetsanalyse for å identifisere og forhindre trusler og sårbarheter fra å forstyrre forretningsdriften. QRadar SIEM-teamet har nettopp kunngjort utgivelsen av en ny DSM som er integrert med den nye Microsoft Defender XDR varsler API for å trekke inn Microsoft Defender for endepunkt varsler. Nye kunder er velkommen til å dra nytte av den nye DSM ved utgivelsen. Mer informasjon om den nye DSM og hvordan du enkelt kan overføre til den på Microsoft Defender XDR – IBM-dokumentasjon.

3. Splunk SOAR hjelper kunder med å organisere arbeidsflyter og automatisere oppgaver på sekunder for å arbeide smartere og svare raskere. Splunk SOAR er integrert med den nye Microsoft Defender XDR API-ene, inkludert API-en for varsler. Hvis du vil ha mer informasjon, kan du se Microsoft Defender XDR | Splunkbase

Andre integreringer er oppført i teknologiske partnere av Microsoft Defender XDR, eller kontakt SIEM / SOAR-leverandøren for å lære om integreringer de tilbyr.

Kaller API-en for Microsoft Defender XDR varsler direkte

Tabellen nedenfor gir en tilordning mellom SIEM-API-en til API-en for Microsoft Defender XDR varsler:

SIEM-API-egenskap	Kartlegging	API-egenskapen Microsoft Defender XDR varsel
AlertTime	->	createdDateTime
ComputerDnsName	->	evidence/deviceEvidence: deviceDnsName
AlertTitle	->	title
Category	->	category
Severity	->	severity
AlertId	->	id
Actor	->	actorDisplayName
LinkToWDATP	->	alertWebUrl
IocName	X	IoC-felt støttes ikke
IocValue	X	IoC-felt støttes ikke
CreatorIocName	X	IoC-felt støttes ikke
CreatorIocValue	X	IoC-felt støttes ikke
Sha1	->	evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName	->	evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath	->	evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress	->	evidence/ipEvidence: ipAddress
URL	->	evidence/urlEvidence: url
IoaDefinitionId	->	detectorId
UserName	->	evidence/userEvidence/userAccount: accountName
AlertPart	X	Foreldet (Defender for Endpoint-varsler er atom-/fullstendige som kan oppdateres, mens SIEM-API-en var uforanderlige registreringer av gjenkjenninger)
FullId	X	IoC-felt støttes ikke
LastProcessedTimeUtc	->	lastActivityDateTime
ThreatCategory	->	mitreTechniques []
ThreatFamilyName	->	threatFamilyName
ThreatName	->	threatDisplayName
RemediationAction	->	evidence: remediationStatus
RemediationIsSuccess	->	evidence: remediationStatus (implied)
Source	->	detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5	X	Støttes ikke
Sha256	->	evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected	->	evidence/processEvidence: detectionStatus
UserDomain	->	evidence/userEvidence/userAccount: domainName
LogOnUsers	->	evidence/deviceEvidence: loggedOnUsers []
MachineDomain	->	Inkludert i evidence/deviceEvidence: deviceDnsName
MachineName	->	Inkludert i evidence/deviceEvidence: deviceDnsName
InternalIPV4List	X	Støttes ikke
InternalIPV6List	X	Støttes ikke
FileHash	->	Bruk sha1 eller sha256
DeviceID	->	evidence/deviceEvidence: mdeDeviceId
MachineGroup	->	evidence/deviceEvidence: rbacGroupName
Description	->	description
DeviceCreatedMachineTags	->	evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags	->	evidence: tags [] (for deviceEvidence)
CommandLine	->	evidence/processEvidence: processCommandLine
IncidentLinkToWDATP	->	incidentWebUrl
ReportId	X	Foreldet (Defender for Endpoint-varsler er atom-/fullstendige som kan oppdateres, mens SIEM-API-en var uforanderlige registreringer av gjenkjenninger)
LinkToMTP	->	alertWebUrl
IncidentLinkToMTP	->	incidentWebUrl
ExternalId	X	Foreldet
IocUniqueId	X	IoC-felt støttes ikke

Inntak av varsler ved hjelp av siem-verktøy (Security Information and Events Management)

Obs!

Microsoft Defender for endepunkt Varselet er skrevet fra én eller flere mistenkelige eller ondsinnede hendelser som oppstod på enheten og tilhørende detaljer. API-en for Microsoft Defender for endepunkt varsel er den nyeste API-en for varslingsforbruk og inneholder en detaljert liste over relaterte bevis for hvert varsel. Hvis du vil ha mer informasjon, kan du se Varselmetoder og egenskaper og Listevarsler.

Microsoft Defender for endepunkt støtter siem-verktøy (Security Information and Event Management) som inntar informasjon fra bedriftsleieren i Microsoft Entra ID ved hjelp av godkjenningsprotokollen OAuth 2.0 for en registrert Microsoft Entra program som representerer den spesifikke SIEM-løsningen eller koblingen som er installert i miljøet ditt.

Hvis du vil ha mer informasjon, kan du se:

• Microsoft Defender for endepunkt API-lisens og vilkår for bruk
• Få tilgang til de Microsoft Defender for endepunkt API-ene
• Hello World eksempel (beskriver hvordan du registrerer et program i Microsoft Entra ID)
• Få tilgang med programkontekst
• Microsoft Defender XDR SIEM-integrering

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.