Compartilhar via


Acessar notificações de incidentes usando API do Graph

Aplica-se a:

Notificações de especialistas do Defender são incidentes que foram gerados a partir da caça conduzida por especialistas do Defender em seu ambiente. Eles contêm informações sobre a investigação de caça e as ações recomendadas fornecidas pelos Especialistas do Defender. Agora você pode acessar DENs usando a API de segurança do Microsoft Graph.

Observação

Qualquer incidente no portal Microsoft Defender é uma coleção de alertas correlacionados. Saiba Mais

Os seguintes detalhes de notificação de especialistas do Defender estão disponíveis no portal Microsoft Defender:

  • Título de incidente – começa com o Defender Experts para distinguir notificações de especialistas do Defender de outros incidentes
  • Resumo executivo – fornece uma visão geral do resumo da investigação
  • Resumo da recomendação – lista as ações recomendadas de Especialistas do Defender
  • Consultas de caça avançadas - lista as consultas de caça KQL convertidas usadas para a investigação

Na API de segurança do Microsoft Graph, os seguintes campos também estão disponíveis:

Observação

Esses campos estarão disponíveis em breve no ponto de extremidade graph v1.0. Para obter mais informações, confira API REST do Microsoft Graph v1.0

Sua abordagem para consumir notificações de especialistas do Defender da API variará dependendo do sistema downstream que você pretende usar e seus requisitos específicos. No entanto, as seguintes etapas são uma implementação básica para ajudá-lo a começar:

Começando por incidentes no API do Graph

  1. Obtenha incidentes da API de segurança do Graph.
  2. Verifique se há novos incidentes em que o displayName começa com o Defender Experts.
  3. Continue lendo os campos restantes para esses incidentes.
  4. Sincronize as informações de DeN (Notificação de Especialistas do Defender) em sua ferramenta downstream (por exemplo, ServiceNow).

A partir de alertas no API do Graph

  1. Obtenha alertas da API de segurança do Graph.
  2. Verifique se há novos alertas em que a detecçãoSource começa com microsoftThreatExperts.
  3. Procure o incidente correspondente verificando incidentId listado no alerta.
  4. Continue lendo os campos restantes para esses incidentes.
  5. Sincronize as informações de DeN (Notificação de Especialistas do Defender) em sua ferramenta downstream (por exemplo, ServiceNow).

Próxima etapa

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.