Przegląd zarządzania i interfejsów API

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Usługa Defender for Endpoint obsługuje szeroką gamę opcji, dzięki czemu klienci mogą łatwo wdrożyć platformę.

Uznając, że środowiska i struktury klientów mogą się różnić, usługa Defender for Endpoint została utworzona z elastycznością i szczegółową kontrolą w celu dopasowania do różnych wymagań klientów.

Dołączanie punktu końcowego i dostęp do portalu

Dołączanie urządzeń jest w pełni zintegrowane z Microsoft Configuration Manager i Microsoft Intune dla urządzeń klienckich i Microsoft Defender dla urządzeń serwerowych, zapewniając kompleksowe środowisko konfiguracji, wdrażania i monitorowania. Ponadto Ochrona punktu końcowego w usłudze Microsoft Defender obsługuje zasady grupy i narzędzia innych firm używane do zarządzania urządzeniami.

Usługa Defender for Endpoint zapewnia szczegółową kontrolę nad tym, co użytkownicy z dostępem do portalu mogą wyświetlać i wykonywać dzięki elastyczności kontroli dostępu opartej na rolach (RBAC). Model RBAC obsługuje wszystkie smaki struktury zespołów zabezpieczeń:

  • Globalnie rozproszone organizacje i zespoły ds. zabezpieczeń
  • Zespoły operacji zabezpieczeń modelu warstwowego
  • W pełni segregowane działy z pojedynczymi scentralizowanymi zespołami ds. globalnych operacji zabezpieczeń

Dostępne interfejsy API

Rozwiązanie Ochrona punktu końcowego w usłudze Microsoft Defender jest oparte na platformie gotowej do integracji.

Usługa Defender for Endpoint uwidacznia wiele swoich danych i akcji za pośrednictwem zestawu programowych interfejsów API. Te interfejsy API umożliwiają automatyzację przepływów pracy i wprowadzanie innowacji w oparciu o możliwości usługi Defender for Endpoint.

Dostępny interfejs API i integracja w Ochrona punktu końcowego w usłudze Microsoft Defender

Interfejsy API usługi Defender for Endpoint można pogrupować na trzy:

  • interfejsy API Ochrona punktu końcowego w usłudze Microsoft Defender
  • Interfejs API przesyłania strumieniowego nieprzetworzonych danych
  • Integracja zarządzania informacjami i zdarzeniami zabezpieczeń

interfejsy API Ochrona punktu końcowego w usłudze Microsoft Defender

Usługa Defender for Endpoint oferuje warstwowy model interfejsu API uwidaczniający dane i możliwości w ustrukturyzowanym, przejrzystym i łatwym w użyciu modelu uwidocznianym za pośrednictwem standardowego modelu uwierzytelniania i autoryzacji opartego na Azure AD, umożliwiającego dostęp w kontekście użytkowników lub aplikacji SaaS. Model interfejsu API został zaprojektowany tak, aby uwidoczniać jednostki i możliwości w spójnej formie.

Obejrzyj to wideo, aby zapoznać się z krótkim omówieniem interfejsów API usługi Defender for Endpoint.

Interfejs API badania uwidacznia rozbudowę usługi Defender for Endpoint — uwidaczniania jednostek obliczeniowych lub "profilowanych" (na przykład urządzenia, użytkownika i pliku) oraz dyskretnych zdarzeń (na przykład tworzenia procesów i tworzenia plików), które zwykle opisują zachowanie związane z jednostką, umożliwiając dostęp do danych za pośrednictwem interfejsów badania umożliwiających dostęp do danych oparty na zapytaniach. Aby uzyskać więcej informacji, zobacz Obsługiwane interfejsy API.

Interfejs API odpowiedzi uwidacznia możliwość podejmowania akcji w usłudze i na urządzeniach, umożliwiając klientom pozyskiwanie wskaźników, zarządzanie ustawieniami, stan alertów, a także programowe wykonywanie akcji reagowania na urządzeniach, takich jak izolowanie urządzeń od sieci, plików kwarantanny i innych.

Interfejs API przesyłania strumieniowego nieprzetworzonych danych

Interfejs API przesyłania strumieniowego nieprzetworzonych danych usługi Defender for Endpoint umożliwia klientom wysyłanie z ich wystąpień zdarzeń i alertów w czasie rzeczywistym w miarę ich występowania w ramach pojedynczego strumienia danych, zapewniając mechanizm dostarczania o małych opóźnieniach i wysokiej przepływności.

Informacje o zdarzeniach usługi Defender for Endpoint są wypychane bezpośrednio do usługi Azure Storage w celu długoterminowego przechowywania danych lub do Azure Event Hubs do użycia przez usługi wizualizacji lub dodatkowe aparaty przetwarzania danych.

Aby uzyskać więcej informacji, zobacz Interfejs API przesyłania strumieniowego nieprzetworzonych danych.

Nowy interfejs API przesyłania strumieniowego Microsoft Defender XDR obejmuje zdarzenia poczty e-mail i alertów oprócz zdarzeń urządzenia. Aby uzyskać więcej informacji, zobacz Microsoft Defender XDR Interfejs API przesyłania strumieniowego.

SIEM API

Włączenie integracji informacji o zabezpieczeniach i zarządzania zdarzeniami (SIEM) umożliwia wykrywanie ściągnięcia z Microsoft Defender XDR przy użyciu rozwiązania SIEM lub przez bezpośrednie połączenie z interfejsem API REST wykrywania. Spowoduje to aktywowanie sekcji szczegółów dostępu łącznika SIEM ze wstępnie wypełnionymi wartościami, a aplikacja jest tworzona w ramach dzierżawy Microsoft Entra.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.