Migrowanie z interfejsu API MDE SIEM do interfejsu API alertów Microsoft Defender XDR
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Interfejs API alertów Microsoft Defender XDR, wydany w publicznej wersji zapoznawczej w programie MS Graph, jest oficjalnym i zalecanym interfejsem API dla klientów migrujących z interfejsu API SIEM. Ten interfejs API umożliwia klientom pracę z alertami we wszystkich produktach Microsoft Defender XDR przy użyciu jednej integracji. Oczekujemy, że nowy interfejs API osiągnie ogólną dostępność do I kwartału 2023 r.
Interfejs API SIEM został przestarzały 31 grudnia 2023 r. Jest zadeklarowany jako "przestarzały", ale nie "wycofany". Oznacza to, że do tej daty interfejs API SIEM nadal działa dla istniejących klientów. Po dacie wycofania interfejs API SIEM będzie nadal dostępny, ale będzie obsługiwany tylko w przypadku poprawek związanych z zabezpieczeniami.
Od 31 grudnia 2024 r., trzy lata po pierwotnym ogłoszeniu o wycofaniu, zastrzegamy sobie prawo do wyłączenia interfejsu API SIEM bez dalszych powiadomień.
Aby uzyskać dodatkowe informacje o nowych interfejsach API, zobacz ogłoszenie w blogu: Nowe interfejsy API Microsoft Defender XDR w programie Microsoft Graph są teraz dostępne w publicznej wersji zapoznawczej!
Jeśli jesteś klientem korzystającym z interfejsu API SIEM, zdecydowanie zalecamy planowanie i wykonywanie migracji. Ten artykuł zawiera informacje o dostępnych opcjach migracji do obsługiwanej funkcji:
Ściąganie alertów MDE do systemu zewnętrznego (SIEM/SOAR).
Bezpośrednie wywoływanie interfejsu API alertów Microsoft Defender XDR.
Przeczytaj o nowym interfejsie API alertów Microsoft Defender XDR i zdarzeń
Jeśli ściągasz alerty usługi Defender for Endpoint do systemu zewnętrznego, istnieje kilka obsługiwanych opcji zapewniających organizacjom elastyczność pracy z wybranym rozwiązaniem:
Microsoft Sentinel to skalowalne, natywne dla chmury rozwiązanie Aranżacja, automatyzacja i reagowanie na rozwiązania SIEM i zabezpieczeń (SOAR). Zapewnia inteligentną analizę zabezpieczeń i analizę zagrożeń w całym przedsiębiorstwie, zapewniając jedno rozwiązanie do wykrywania ataków, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia. Łącznik Microsoft Defender XDR umożliwia klientom łatwe ściąganie wszystkich zdarzeń i alertów ze wszystkich produktów Microsoft Defender XDR. Aby dowiedzieć się więcej na temat integracji, zobacz Microsoft Defender XDR integracji z usługą Microsoft Sentinel.
IBM Security QRadar Rozwiązanie SIEM zapewnia scentralizowany wgląd i inteligentną analizę zabezpieczeń w celu identyfikowania zagrożeń i luk w zabezpieczeniach przed zakłócaniem operacji biznesowych oraz zapobiegania im. Zespół QRadar SIEM właśnie ogłosił wydanie nowej maszyny DSM zintegrowanej z nowym interfejsem API alertów Microsoft Defender XDR w celu ściągania alertów Ochrona punktu końcowego w usłudze Microsoft Defender. Nowi klienci mogą korzystać z nowej usługi DSM po wydaniu. Dowiedz się więcej o nowej maszynie DSM i sposobie łatwej migracji do niej w witrynie Microsoft Defender XDR — DOKUMENTACJA IBM.
Splunk SOAR pomaga klientom organizować przepływy pracy i automatyzować zadania w ciągu kilku sekund, aby pracować inteligentniej i szybciej reagować. Splunk SOAR jest zintegrowany z nowymi interfejsami API Microsoft Defender XDR, w tym interfejsem API alertów. Aby uzyskać więcej informacji, zobacz Microsoft Defender XDR | Splunkbase
Inne integracje są wymienione w temacie Partnerzy technologiczni Microsoft Defender XDR lub skontaktuj się z dostawcą SIEM/SOAR, aby dowiedzieć się więcej o zapewnianych integracjach.
Poniższa tabela zawiera mapowanie interfejsu API SIEM na interfejs API alertów Microsoft Defender XDR:
Właściwość interfejsu API SIEM | Mapowania | właściwość interfejsu API alertu Microsoft Defender XDR |
---|---|---|
AlertTime |
-> | createdDateTime |
ComputerDnsName |
-> | evidence/deviceEvidence: deviceDnsName |
AlertTitle |
-> | title |
Category |
-> | category |
Severity |
-> | severity |
AlertId |
-> | id |
Actor |
-> | actorDisplayName |
LinkToWDATP |
-> | alertWebUrl |
IocName |
X | Pola IoC nie są obsługiwane |
IocValue |
X | Pola IoC nie są obsługiwane |
CreatorIocName |
X | Pola IoC nie są obsługiwane |
CreatorIocValue |
X | Pola IoC nie są obsługiwane |
Sha1 |
-> | evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1) |
FileName |
-> | evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName) |
FilePath |
-> | evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath) |
IPAddress |
-> | evidence/ipEvidence: ipAddress |
URL |
-> | evidence/urlEvidence: url |
IoaDefinitionId |
-> | detectorId |
UserName |
-> | evidence/userEvidence/userAccount: accountName |
AlertPart |
X | Przestarzałe (alerty usługi Defender dla punktów końcowych są niepodzielne/kompletne, które można aktualizować, podczas gdy interfejs API SIEM był niezmiennym rekordem wykrywania) |
FullId |
X | Pola IoC nie są obsługiwane |
LastProcessedTimeUtc |
-> | lastActivityDateTime |
ThreatCategory |
-> | mitreTechniques [] |
ThreatFamilyName |
-> | threatFamilyName |
ThreatName |
-> | threatDisplayName |
RemediationAction |
-> | evidence: remediationStatus |
RemediationIsSuccess |
-> | evidence: remediationStatus (implied) |
Source |
-> | detectionSource (use with serviceSource: microsoftDefenderForEndpoint) |
Md5 |
X | Nieobsługiwane |
Sha256 |
-> | evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256) |
WasExecutingWhileDetected |
-> | evidence/processEvidence: detectionStatus |
UserDomain |
-> | evidence/userEvidence/userAccount: domainName |
LogOnUsers |
-> | evidence/deviceEvidence: loggedOnUsers [] |
MachineDomain |
-> | Uwzględnione w evidence/deviceEvidence: deviceDnsName |
MachineName |
-> | Uwzględnione w evidence/deviceEvidence: deviceDnsName |
InternalIPV4List |
X | Nieobsługiwane |
InternalIPV6List |
X | Nieobsługiwane |
FileHash |
-> | Użyj lub sha1 sha256 |
DeviceID |
-> | evidence/deviceEvidence: mdeDeviceId |
MachineGroup |
-> | evidence/deviceEvidence: rbacGroupName |
Description |
-> | description |
DeviceCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CloudCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CommandLine |
-> | evidence/processEvidence: processCommandLine |
IncidentLinkToWDATP |
-> | incidentWebUrl |
ReportId |
X | Przestarzałe (alerty usługi Defender dla punktów końcowych są niepodzielne/kompletne, które można aktualizować, podczas gdy interfejs API SIEM był niezmiennym rekordem wykrywania) |
LinkToMTP |
-> | alertWebUrl |
IncidentLinkToMTP |
-> | incidentWebUrl |
ExternalId |
X | Przestarzałe |
IocUniqueId |
X | Pola IoC nie są obsługiwane |
Pozyskiwanie alertów przy użyciu narzędzi do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM)
Uwaga
Ochrona punktu końcowego w usłudze Microsoft Defender Alert składa się z jednego lub kilku podejrzanych lub złośliwych zdarzeń, które wystąpiły na urządzeniu, i powiązanych z nimi szczegółów. Interfejs API alertów Ochrona punktu końcowego w usłudze Microsoft Defender jest najnowszym interfejsem API do użycia alertów i zawiera szczegółową listę powiązanych dowodów dla każdego alertu. Aby uzyskać więcej informacji, zobacz Metody alertów i właściwości oraz Lista alertów.
Ochrona punktu końcowego w usłudze Microsoft Defender obsługuje narzędzia do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) pozyskujące informacje z dzierżawy przedsiębiorstwa w Tożsamość Microsoft Entra przy użyciu protokołu uwierzytelniania OAuth 2.0 dla zarejestrowanego Microsoft Entra aplikacja reprezentująca określone rozwiązanie SIEM lub łącznik zainstalowany w środowisku.
Więcej informacji można znaleźć w następujących artykułach:
- Ochrona punktu końcowego w usłudze Microsoft Defender licencji interfejsów API i warunków użytkowania
- Uzyskaj dostęp do interfejsów API usługi ochrony punktu końcowego w usłudze Microsoft Defender
- Hello world przykład (opisuje sposób rejestrowania aplikacji w Tożsamość Microsoft Entra)
- Uzyskiwanie dostępu za pomocą kontekstu aplikacji
- integracja Microsoft Defender XDR SIEM
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.