Delen via


Migreren van de MDE SIEM-API naar de API voor Microsoft Defender XDR waarschuwingen

Van toepassing op:

Gebruik de nieuwe Microsoft Defender XDR-API voor al uw waarschuwingen

De API voor Microsoft Defender XDR-waarschuwingen, die is uitgebracht voor openbare preview in MS Graph, is de officiële en aanbevolen API voor klanten die migreren vanuit de SIEM-API. Met deze API kunnen klanten met behulp van één integratie werken met waarschuwingen voor alle Microsoft Defender XDR producten. We verwachten dat de nieuwe API tegen Q1 CY 2023 algemene beschikbaarheid (GA) heeft bereikt.

De SIEM-API is afgeschaft op 31 december 2023. Het is gedeclareerd als 'afgeschaft', maar niet 'buiten gebruik gesteld'. Dit betekent dat de SIEM-API tot deze datum blijft functioneren voor bestaande klanten. Na de afschaffingsdatum blijft de SIEM-API beschikbaar, maar wordt deze alleen ondersteund voor beveiligingsgerelateerde oplossingen.

Met ingang van 31 december 2024, drie jaar na de oorspronkelijke aankondiging van afschaffing, behouden we ons het recht voor om de SIEM-API zonder verdere kennisgeving uit te schakelen.

Zie de blogaankondiging: De nieuwe Microsoft Defender XDR API's in Microsoft Graph zijn nu beschikbaar in openbare preview voor meer informatie over de nieuwe API's.

API-documentatie: De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph

Als u een klant bent die de SIEM-API gebruikt, raden we u ten zeerste aan de migratie te plannen en uit te voeren. Dit artikel bevat informatie over de beschikbare opties voor migratie naar een ondersteunde mogelijkheid:

  1. Het ophalen van MDE waarschuwingen in een extern systeem (SIEM/SOAR).

  2. De Microsoft Defender XDR waarschuwingen-API rechtstreeks aanroepen.

Meer informatie over de nieuwe API voor waarschuwingen en incidenten voor Microsoft Defender XDR

Defender voor Eindpunt-waarschuwingen ophalen naar een extern systeem

Als u Defender voor Eindpunt-waarschuwingen naar een extern systeem ophaalt, zijn er verschillende ondersteunde opties om organisaties de flexibiliteit te bieden om te werken met de oplossing van hun keuze:

  1. Microsoft Sentinel is een schaalbare, cloudeigen SIEM- en security-oplossing voor indeling, automatisering en respons (SOAR). Biedt intelligente beveiligingsanalyses en bedreigingsinformatie in de hele onderneming en biedt één oplossing voor detectie van aanvallen, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen. Met de Microsoft Defender XDR-connector kunnen klanten eenvoudig al hun incidenten en waarschuwingen ophalen uit alle Microsoft Defender XDR producten. Zie Microsoft Defender XDR integratie met Microsoft Sentinel voor meer informatie over de integratie.

  2. IBM Security QRadar SIEM biedt gecentraliseerde zichtbaarheid en intelligente beveiligingsanalyses om bedreigingen en beveiligingsproblemen te identificeren en te voorkomen dat bedrijfsactiviteiten worden verstoord. Het QRadar SIEM-team heeft zojuist de release aangekondigd van een nieuwe DSM die is geïntegreerd met de nieuwe API voor Microsoft Defender XDR waarschuwingen om Microsoft Defender voor Eindpunt waarschuwingen op te halen. Nieuwe klanten kunnen na de release gebruikmaken van de nieuwe DSM. Meer informatie over de nieuwe DSM en hoe u er eenvoudig naar kunt migreren, vindt u in Microsoft Defender XDR - IBM-documentatie.

  3. Splunk SOAR helpt klanten bij het organiseren van werkstromen en het automatiseren van taken in seconden om slimmer te werken en sneller te reageren. Splunk SOAR is geïntegreerd met de nieuwe Microsoft Defender XDR-API's, inclusief de api voor waarschuwingen. Zie Microsoft Defender XDR | voor meer informatie Splunkbase

Andere integraties worden vermeld in Technologische partners van Microsoft Defender XDR of neem contact op met uw SIEM/SOAR-provider voor meer informatie over integraties die ze bieden.

De API voor Microsoft Defender XDR waarschuwingen rechtstreeks aanroepen

De onderstaande tabel bevat een toewijzing tussen de SIEM-API en de Microsoft Defender XDR waarschuwingen-API:

SIEM API-eigenschap Toewijzing eigenschap Microsoft Defender XDR waarschuwings-API
AlertTime -> createdDateTime
ComputerDnsName -> evidence/deviceEvidence: deviceDnsName
AlertTitle -> title
Category -> category
Severity -> severity
AlertId -> id
Actor -> actorDisplayName
LinkToWDATP -> alertWebUrl
IocName X IoC-velden worden niet ondersteund
IocValue X IoC-velden worden niet ondersteund
CreatorIocName X IoC-velden worden niet ondersteund
CreatorIocValue X IoC-velden worden niet ondersteund
Sha1 -> evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName -> evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath -> evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress -> evidence/ipEvidence: ipAddress
URL -> evidence/urlEvidence: url
IoaDefinitionId -> detectorId
UserName -> evidence/userEvidence/userAccount: accountName
AlertPart X Verouderd (Defender voor Eindpunt-waarschuwingen zijn atomisch/voltooid en kunnen worden bijgewerkt, terwijl de SIEM-API onveranderbare records van detecties waren)
FullId X IoC-velden worden niet ondersteund
LastProcessedTimeUtc -> lastActivityDateTime
ThreatCategory -> mitreTechniques []
ThreatFamilyName -> threatFamilyName
ThreatName -> threatDisplayName
RemediationAction -> evidence: remediationStatus
RemediationIsSuccess -> evidence: remediationStatus (implied)
Source -> detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5 X Niet ondersteund
Sha256 -> evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected -> evidence/processEvidence: detectionStatus
UserDomain -> evidence/userEvidence/userAccount: domainName
LogOnUsers -> evidence/deviceEvidence: loggedOnUsers []
MachineDomain -> Opgenomen in evidence/deviceEvidence: deviceDnsName
MachineName -> Opgenomen in evidence/deviceEvidence: deviceDnsName
InternalIPV4List X Niet ondersteund
InternalIPV6List X Niet ondersteund
FileHash -> Gebruik sha1 of sha256
DeviceID -> evidence/deviceEvidence: mdeDeviceId
MachineGroup -> evidence/deviceEvidence: rbacGroupName
Description -> description
DeviceCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CommandLine -> evidence/processEvidence: processCommandLine
IncidentLinkToWDATP -> incidentWebUrl
ReportId X Verouderd (Defender voor Eindpunt-waarschuwingen zijn atomisch/voltooid en kunnen worden bijgewerkt, terwijl de SIEM-API onveranderbare records van detecties waren)
LinkToMTP -> alertWebUrl
IncidentLinkToMTP -> incidentWebUrl
ExternalId X Verouderde
IocUniqueId X IoC-velden worden niet ondersteund

Waarschuwingen opnemen met siem-hulpprogramma's (Security Information and Events Management)

Opmerking

Microsoft Defender voor Eindpunt waarschuwing bestaat uit een of meer verdachte of schadelijke gebeurtenissen die zich op het apparaat hebben voorgedaan en de bijbehorende details. De Microsoft Defender voor Eindpunt Waarschuwings-API is de meest recente API voor het verbruik van waarschuwingen en bevat een gedetailleerde lijst met gerelateerd bewijsmateriaal voor elke waarschuwing. Zie Waarschuwingsmethoden en -eigenschappen enWaarschuwingen weergeven voor meer informatie.

Microsoft Defender voor Eindpunt ondersteunt SIEM-hulpprogramma's (Security Information and Event Management) die gegevens opnemen uit uw enterprise-tenant in Microsoft Entra ID met behulp van het OAuth 2.0-verificatieprotocol voor een geregistreerde Microsoft Entra toepassing die de specifieke SIEM-oplossing of connector vertegenwoordigt die in uw omgeving is geïnstalleerd.

Zie voor meer informatie:

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.