Acessar notificações de incidentes usando API do Graph
Aplica-se a:
Notificações de especialistas do Defender são incidentes que foram gerados a partir da caça conduzida por especialistas do Defender em seu ambiente. Eles contêm informações sobre a investigação de caça e as ações recomendadas fornecidas pelos Especialistas do Defender. Agora você pode acessar DENs usando a API de segurança do Microsoft Graph.
Observação
Qualquer incidente no portal Microsoft Defender é uma coleção de alertas correlacionados. Saiba Mais
Os seguintes detalhes de notificação de especialistas do Defender estão disponíveis no portal Microsoft Defender:
- Título de incidente – começa com o Defender Experts para distinguir notificações de especialistas do Defender de outros incidentes
- Resumo executivo – fornece uma visão geral do resumo da investigação
- Resumo da recomendação – lista as ações recomendadas de Especialistas do Defender
- Consultas de caça avançadas - lista as consultas de caça KQL convertidas usadas para a investigação
Na API de segurança do Microsoft Graph, os seguintes campos também estão disponíveis:
- Ponto de extremidade do grafo - https://graph.microsoft.com/beta/security/incidents
- Os seguintes nomes de campo que correspondem aos detalhes mencionados anteriormente:
- displayName
- description
- recommendedActions
- recommendedHuntingQueries
Observação
Esses campos estarão disponíveis em breve no ponto de extremidade graph v1.0. Para obter mais informações, confira API REST do Microsoft Graph v1.0
Sua abordagem para consumir notificações de especialistas do Defender da API variará dependendo do sistema downstream que você pretende usar e seus requisitos específicos. No entanto, as seguintes etapas são uma implementação básica para ajudá-lo a começar:
Começando por incidentes no API do Graph
- Obtenha incidentes da API de segurança do Graph.
- Verifique se há novos incidentes em que o displayName começa com o Defender Experts.
- Continue lendo os campos restantes para esses incidentes.
- Sincronize as informações de DeN (Notificação de Especialistas do Defender) em sua ferramenta downstream (por exemplo, ServiceNow).
A partir de alertas no API do Graph
- Obtenha alertas da API de segurança do Graph.
- Verifique se há novos alertas em que a detecçãoSource começa com microsoftThreatExperts.
- Procure o incidente correspondente verificando incidentId listado no alerta.
- Continue lendo os campos restantes para esses incidentes.
- Sincronize as informações de DeN (Notificação de Especialistas do Defender) em sua ferramenta downstream (por exemplo, ServiceNow).
Próxima etapa
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.