Migreren van de MDE SIEM-API naar de API voor Microsoft Defender XDR waarschuwingen
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Gebruik de nieuwe Microsoft Defender XDR-API voor al uw waarschuwingen
De API voor Microsoft Defender XDR-waarschuwingen, die is uitgebracht voor openbare preview in MS Graph, is de officiële en aanbevolen API voor klanten die migreren vanuit de SIEM-API. Met deze API kunnen klanten met behulp van één integratie werken met waarschuwingen voor alle Microsoft Defender XDR producten. We verwachten dat de nieuwe API tegen Q1 CY 2023 algemene beschikbaarheid (GA) heeft bereikt.
De SIEM-API is afgeschaft op 31 december 2023. Het is gedeclareerd als 'afgeschaft', maar niet 'buiten gebruik gesteld'. Dit betekent dat de SIEM-API tot deze datum blijft functioneren voor bestaande klanten. Na de afschaffingsdatum blijft de SIEM-API beschikbaar, maar wordt deze alleen ondersteund voor beveiligingsgerelateerde oplossingen.
Met ingang van 31 december 2024, drie jaar na de oorspronkelijke aankondiging van afschaffing, behouden we ons het recht voor om de SIEM-API zonder verdere kennisgeving uit te schakelen.
Zie de blogaankondiging: De nieuwe Microsoft Defender XDR API's in Microsoft Graph zijn nu beschikbaar in openbare preview voor meer informatie over de nieuwe API's.
API-documentatie: De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph
Als u een klant bent die de SIEM-API gebruikt, raden we u ten zeerste aan de migratie te plannen en uit te voeren. Dit artikel bevat informatie over de beschikbare opties voor migratie naar een ondersteunde mogelijkheid:
Het ophalen van MDE waarschuwingen in een extern systeem (SIEM/SOAR).
De Microsoft Defender XDR waarschuwingen-API rechtstreeks aanroepen.
Meer informatie over de nieuwe API voor waarschuwingen en incidenten voor Microsoft Defender XDR
Defender voor Eindpunt-waarschuwingen ophalen naar een extern systeem
Als u Defender voor Eindpunt-waarschuwingen naar een extern systeem ophaalt, zijn er verschillende ondersteunde opties om organisaties de flexibiliteit te bieden om te werken met de oplossing van hun keuze:
Microsoft Sentinel is een schaalbare, cloudeigen SIEM- en security-oplossing voor indeling, automatisering en respons (SOAR). Biedt intelligente beveiligingsanalyses en bedreigingsinformatie in de hele onderneming en biedt één oplossing voor detectie van aanvallen, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen. Met de Microsoft Defender XDR-connector kunnen klanten eenvoudig al hun incidenten en waarschuwingen ophalen uit alle Microsoft Defender XDR producten. Zie Microsoft Defender XDR integratie met Microsoft Sentinel voor meer informatie over de integratie.
IBM Security QRadar SIEM biedt gecentraliseerde zichtbaarheid en intelligente beveiligingsanalyses om bedreigingen en beveiligingsproblemen te identificeren en te voorkomen dat bedrijfsactiviteiten worden verstoord. Het QRadar SIEM-team heeft zojuist de release aangekondigd van een nieuwe DSM die is geïntegreerd met de nieuwe API voor Microsoft Defender XDR waarschuwingen om Microsoft Defender voor Eindpunt waarschuwingen op te halen. Nieuwe klanten kunnen na de release gebruikmaken van de nieuwe DSM. Meer informatie over de nieuwe DSM en hoe u er eenvoudig naar kunt migreren, vindt u in Microsoft Defender XDR - IBM-documentatie.
Splunk SOAR helpt klanten bij het organiseren van werkstromen en het automatiseren van taken in seconden om slimmer te werken en sneller te reageren. Splunk SOAR is geïntegreerd met de nieuwe Microsoft Defender XDR-API's, inclusief de api voor waarschuwingen. Zie Microsoft Defender XDR | voor meer informatie Splunkbase
Andere integraties worden vermeld in Technologische partners van Microsoft Defender XDR of neem contact op met uw SIEM/SOAR-provider voor meer informatie over integraties die ze bieden.
De API voor Microsoft Defender XDR waarschuwingen rechtstreeks aanroepen
De onderstaande tabel bevat een toewijzing tussen de SIEM-API en de Microsoft Defender XDR waarschuwingen-API:
| SIEM API-eigenschap | Toewijzing | eigenschap Microsoft Defender XDR waarschuwings-API |
|---|---|---|
AlertTime |
-> | createdDateTime |
ComputerDnsName |
-> | evidence/deviceEvidence: deviceDnsName |
AlertTitle |
-> | title |
Category |
-> | category |
Severity |
-> | severity |
AlertId |
-> | id |
Actor |
-> | actorDisplayName |
LinkToWDATP |
-> | alertWebUrl |
IocName |
X | IoC-velden worden niet ondersteund |
IocValue |
X | IoC-velden worden niet ondersteund |
CreatorIocName |
X | IoC-velden worden niet ondersteund |
CreatorIocValue |
X | IoC-velden worden niet ondersteund |
Sha1 |
-> | evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1) |
FileName |
-> | evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName) |
FilePath |
-> | evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath) |
IPAddress |
-> | evidence/ipEvidence: ipAddress |
URL |
-> | evidence/urlEvidence: url |
IoaDefinitionId |
-> | detectorId |
UserName |
-> | evidence/userEvidence/userAccount: accountName |
AlertPart |
X | Verouderd (Defender voor Eindpunt-waarschuwingen zijn atomisch/voltooid en kunnen worden bijgewerkt, terwijl de SIEM-API onveranderbare records van detecties waren) |
FullId |
X | IoC-velden worden niet ondersteund |
LastProcessedTimeUtc |
-> | lastActivityDateTime |
ThreatCategory |
-> | mitreTechniques [] |
ThreatFamilyName |
-> | threatFamilyName |
ThreatName |
-> | threatDisplayName |
RemediationAction |
-> | evidence: remediationStatus |
RemediationIsSuccess |
-> | evidence: remediationStatus (implied) |
Source |
-> | detectionSource (use with serviceSource: microsoftDefenderForEndpoint) |
Md5 |
X | Niet ondersteund |
Sha256 |
-> | evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256) |
WasExecutingWhileDetected |
-> | evidence/processEvidence: detectionStatus |
UserDomain |
-> | evidence/userEvidence/userAccount: domainName |
LogOnUsers |
-> | evidence/deviceEvidence: loggedOnUsers [] |
MachineDomain |
-> | Opgenomen in evidence/deviceEvidence: deviceDnsName |
MachineName |
-> | Opgenomen in evidence/deviceEvidence: deviceDnsName |
InternalIPV4List |
X | Niet ondersteund |
InternalIPV6List |
X | Niet ondersteund |
FileHash |
-> | Gebruik sha1 of sha256 |
DeviceID |
-> | evidence/deviceEvidence: mdeDeviceId |
MachineGroup |
-> | evidence/deviceEvidence: rbacGroupName |
Description |
-> | description |
DeviceCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CloudCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CommandLine |
-> | evidence/processEvidence: processCommandLine |
IncidentLinkToWDATP |
-> | incidentWebUrl |
ReportId |
X | Verouderd (Defender voor Eindpunt-waarschuwingen zijn atomisch/voltooid en kunnen worden bijgewerkt, terwijl de SIEM-API onveranderbare records van detecties waren) |
LinkToMTP |
-> | alertWebUrl |
IncidentLinkToMTP |
-> | incidentWebUrl |
ExternalId |
X | Verouderde |
IocUniqueId |
X | IoC-velden worden niet ondersteund |
Waarschuwingen opnemen met siem-hulpprogramma's (Security Information and Events Management)
Opmerking
Microsoft Defender voor Eindpunt waarschuwing bestaat uit een of meer verdachte of schadelijke gebeurtenissen die zich op het apparaat hebben voorgedaan en de bijbehorende details. De Microsoft Defender voor Eindpunt Waarschuwings-API is de meest recente API voor het verbruik van waarschuwingen en bevat een gedetailleerde lijst met gerelateerd bewijsmateriaal voor elke waarschuwing. Zie Waarschuwingsmethoden en -eigenschappen enWaarschuwingen weergeven voor meer informatie.
Microsoft Defender voor Eindpunt ondersteunt SIEM-hulpprogramma's (Security Information and Event Management) die gegevens opnemen uit uw enterprise-tenant in Microsoft Entra ID met behulp van het OAuth 2.0-verificatieprotocol voor een geregistreerde Microsoft Entra toepassing die de specifieke SIEM-oplossing of connector vertegenwoordigt die in uw omgeving is geïnstalleerd.
Zie voor meer informatie:
- licentie en gebruiksvoorwaarden voor Microsoft Defender voor Eindpunt API's
- Toegang tot de API's voor Microsoft Defender voor Eindpunt
- Hallo wereld voorbeeld (hierin wordt beschreven hoe u een toepassing registreert in Microsoft Entra ID)
- Toegang krijgen tot toepassingscontext
- SIEM-integratie van Microsoft Defender XDR
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.