Overzicht van beheer en API's
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
- Microsoft Defender voor Bedrijven (voor ondersteunde mogelijkheden)
Defender voor Eindpunt ondersteunt een breed scala aan implementatie-, configuratie- en rapportageopties om ervoor te zorgen dat klanten het platform eenvoudig kunnen gebruiken. Om te bevestigen dat omgevingen en structuren van klanten kunnen variëren, is Defender voor Eindpunt gemaakt met flexibiliteit en gedetailleerd beheer om te voldoen aan verschillende klantvereisten. Defender voor Bedrijven biedt vergelijkbare mogelijkheden, speciaal ontworpen voor kleine en middelgrote bedrijven.
Onboarding van apparaten is volledig geïntegreerd in Microsoft Intune en Microsoft Configuration Manager voor clientapparaten. U kunt zowel client- als serverapparaten onboarden met behulp van de Microsoft Defender-portal. Of voor servers kunt u Defender for Cloud gebruiken, dat kan worden geïntegreerd met Defender voor Eindpunt en Defender voor Bedrijven. (Serverlicenties zijn vereist. Zie Servers onboarden bij Defender voor Eindpunt en Apparaten onboarden voor Defender voor Bedrijven voor meer informatie.)
De Microsoft Defender portal biedt uw beveiligingsteam een robuuste, end-to-end ervaring voor configuratie, implementatie en bewaking. Daarnaast ondersteunt Microsoft Defender voor Eindpunt groepsbeleid en andere niet-Microosft-hulpprogramma's die worden gebruikt voor het beheren van apparaten.
Defender voor Eindpunt biedt gedetailleerde controle over wat gebruikers met toegang tot de portal kunnen zien en doen via de flexibiliteit van op rollen gebaseerd toegangsbeheer (RBAC). Het RBAC-model ondersteunt alle varianten van de structuur van beveiligingsteams:
- Wereldwijd gedistribueerde organisaties en beveiligingsteams
- Teams voor gelaagde modelbeveiligingsbewerkingen
- Volledig gescheiden afdelingen met één gecentraliseerde wereldwijde beveiligingsteams
Defender voor Eindpunt is gebouwd op een platform dat geschikt is voor integratie.
Defender voor Eindpunt maakt veel van de gegevens en acties beschikbaar via een set programmatische API's. Met deze API's kunt u werkstromen automatiseren en innoveren op basis van de mogelijkheden van Defender for Endpoint. U kunt ook de Defender voor Eindpunt-API's gebruiken met Defender voor Bedrijven voor de mogelijkheden die worden ondersteund in Defender voor Bedrijven.
De Defender voor Eindpunt-API's kunnen worden gegroepeerd in drie:
- Microsoft Defender voor Eindpunt-API's
- API voor onbewerkte voor gegevensstreaming
- SIEM-integratie
Defender voor Eindpunt biedt een gelaagd API-model dat gegevens en mogelijkheden beschikbaar maakt in een gestructureerd, duidelijk en gebruiksvriendelijk model, beschikbaar via een standaard Azure AD verificatie- en autorisatiemodel dat toegang biedt in de context van gebruikers of SaaS-toepassingen. Het API-model is ontworpen om entiteiten en mogelijkheden in een consistente vorm beschikbaar te maken.
Bekijk deze video voor een kort overzicht van de API's van Defender for Endpoint.
De Onderzoeks-API maakt de rijkdom van Defender voor Eindpunt zichtbaar: berekende of 'geprofileerde' entiteiten (bijvoorbeeld apparaat, gebruiker en bestand) en discrete gebeurtenissen (bijvoorbeeld procesaanmaak en het maken van bestanden) die doorgaans een gedrag beschrijven met betrekking tot een entiteit, waardoor toegang tot gegevens mogelijk wordt gemaakt via onderzoekinterfaces, waardoor op query's gebaseerde toegang tot gegevens mogelijk is. Zie Ondersteunde API's voor meer informatie.
De Antwoord-API biedt de mogelijkheid om acties uit te voeren in de service en op apparaten, waardoor klanten indicatoren kunnen opnemen, instellingen kunnen beheren, de waarschuwingsstatus kunnen beheren en actie kunnen ondernemen op apparaten die programmatisch reageren, zoals apparaten isoleren van het netwerk, quarantainebestanden en andere.
De API voor het streamen van onbewerkte gegevens van Defender voor Eindpunt biedt klanten de mogelijkheid om realtime gebeurtenissen en waarschuwingen van hun exemplaren te verzenden wanneer deze zich voordoen binnen één gegevensstroom, wat een leveringsmechanisme met lage latentie en hoge doorvoer biedt.
De gebeurtenisgegevens van Defender voor Eindpunt worden rechtstreeks naar Azure Storage gepusht voor langetermijnretentie van gegevens of naar Azure Event Hubs voor gebruik door visualisatieservices of andere gegevensverwerkingsengines.
Zie Api voor het streamen van onbewerkte gegevens voor meer informatie.
De nieuwe Microsoft Defender XDR Streaming-API bevat naast apparaatevenementen ook e-mail- en waarschuwingsevenementen. Zie Microsoft Defender XDR Streaming-API voor meer informatie.
Wanneer u SIEM-integratie (Security Information and Event Management) inschakelt, kunt u detecties ophalen uit Microsoft Defender XDR met behulp van uw SIEM-oplossing of door rechtstreeks verbinding te maken met de REST API voor detecties. Hiermee activeert u de sectie toegangsdetails van de SIEM-connector met vooraf ingevulde waarden en wordt er een toepassing gemaakt onder uw Microsoft Entra tenant.
- Toegang tot de API's voor Microsoft Defender voor Eindpunt
- Ondersteunde API's
- Mogelijkheden voor technische partners
- Bronnen voor Microsoft-partners die werken met kleine en middelgrote bedrijven
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.