Migrar da API do SIEM do MDE para a API de alertas de Microsoft 365 Defender
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft 365 Defender
Use a nova API Microsoft 365 Defender para todos os alertas
Importante
Em fevereiro, anunciamos que a preterição da API SIEM do Microsoft Defender para Ponto de Extremidade (MDE) seria adiada. Depois de coletar comentários do cliente, aprendemos que há desafios com a linha do tempo comunicada originalmente. Como resultado, estamos fazendo alterações em nossa linha do tempo para melhorar a experiência de nossos clientes em migrar para a nova API. A nova API de alertas Microsoft 365 Defender, lançada para visualização pública no MS Graph, é a API oficial e recomendada para clientes que migram da API SIEM. Essa API permitirá que os clientes trabalhem com alertas em todos os Microsoft 365 Defender produtos usando uma única integração. Esperamos que a nova API alcance a GA (disponibilidade geral) até o 1º trimestre de 2023. Para fornecer aos clientes mais tempo para planejar e preparar sua migração para as novas APIs de Microsoft 365 Defender, adiamos a data de preterimento da API SIEM para 31 de dezembro de 2023. Isso dará aos clientes um ano da versão ga esperada de Microsoft 365 Defender APIs para migrar da API SIEM. No momento da preterição, a API SIEM será declarada "preterida", mas não "aposentada". Isso significa que, até esta data, a API SIEM continuará funcionando para clientes existentes. Após a data de preterimento, a API SIEM continuará disponível, no entanto, ela só terá suporte para correções relacionadas à segurança. A partir de 31 de dezembro de 2024, três anos após o anúncio original de preterição, reservamos o direito de desativar a API SIEM, sem aviso prévio.
Para obter mais informações sobre as novas APIs, confira o comunicado do blog: as novas APIs Microsoft 365 Defender no Microsoft Graph já estão disponíveis em versão prévia pública!
Documentação da API: usar a API de segurança do Microsoft Graph – Microsoft Graph
Se você for um cliente que usa a API SIEM, recomendamos planejar e executar a migração. Listadas abaixo estão informações sobre as opções disponíveis para migrar para um recurso com suporte:
- Puxando alertas de MDE para um sistema externo (SIEM/SOAR)
- Chamar a API de alertas Microsoft 365 Defender diretamente
Ler sobre a nova API de alertas e incidentes Microsoft 365 Defender
Puxando alertas do Defender para Ponto de Extremidade em um sistema externo
Se você estiver puxando alertas do Defender para Ponto de Extremidade em um sistema externo, há várias opções com suporte para dar às organizações a flexibilidade de trabalhar com a solução de sua escolha:
- O Microsoft Sentinel é uma solução SOAR (orquestração, automação e resposta) escalonável, nativa da nuvem, SIEM e Segurança. Fornece análise de segurança inteligente e inteligência contra ameaças em toda a empresa, fornecendo uma única solução para detecção de ataque, visibilidade de ameaças, caça proativa e resposta a ameaças. O conector Microsoft 365 Defender permite que os clientes puxem facilmente todos os seus incidentes e alertas de todos os Microsoft 365 Defender produtos. Para saber mais sobre a integração, consulte Microsoft 365 Defender integração com o Microsoft Sentinel.
- Ibm Security QRadar O SIEM fornece visibilidade centralizada e análise inteligente de segurança para identificar e impedir que ameaças e vulnerabilidades interrompam as operações comerciais. A equipe do SIEM do QRadar acaba de anunciar o lançamento de um novo DSM integrado à nova API de alertas de Microsoft 365 Defender para puxar alertas de Microsoft Defender para Ponto de Extremidade. Novos clientes são bem-vindos para aproveitar o novo DSM após a versão. Saiba mais sobre o novo DSM e como migrar facilmente para ele em Microsoft 365 Defender – Documentação da IBM.
- O Splunk SOAR ajuda os clientes a orquestrar fluxos de trabalho e automatizar tarefas em segundos para trabalhar mais inteligente e responder mais rapidamente. O Splunk SOAR é integrado às novas APIs Microsoft 365 Defender, incluindo a API de alertas. Para obter mais informações, consulte Microsoft 365 Defender | Splunkbase
Integrações adicionais são listadas em parceiros tecnológicos de Microsoft 365 Defender ou entram em contato com seu provedor SIEM/SOAR para saber mais sobre as integrações que eles podem fornecer.
Chamar a API de alertas Microsoft 365 Defender diretamente
A tabela abaixo fornece um mapeamento entre a API SIEM para a API de alertas de Microsoft 365 Defender:
| Propriedade API SIEM | Mapeamento | propriedade da API de alerta Microsoft 365 Defender |
|---|---|---|
| AlertTime | -> | createdDateTime |
| ComputerDnsName | -> | evidence/deviceEvidence: deviceDnsName |
| AlertTitle | -> | title |
| Categoria | -> | category |
| Severity | -> | severity |
| AlertId | -> | id |
| Actor | -> | actorDisplayName |
| LinkToWDATP | -> | alertWebUrl |
| IocName | X | Campos IoC não compatíveis |
| IocValue | X | Campos IoC não compatíveis |
| CreatorIocName | X | Campos IoC não compatíveis |
| CreatorIocValue | X | Campos IoC não compatíveis |
| Sha1 | -> | evidence/fileEvidence/fileDetails: sha1 (ou evidence/processEvidence/imageFile: sha1) |
| FileName | -> | evidence/fileEvidence/fileDetails: fileName (ou evidence/processEvidence/image: fileName) |
| FilePath | -> | evidence/fileEvidence/fileDetails: filePath (ou evidence/processEvidence/image: filePath) |
| IPAddress | -> | evidence/ipEvidence: ipAddress |
| URL | -> | evidence/urlEvidence: url |
| IoaDefinitionId | -> | detectorId |
| UserName | -> | evidence/userEvidence/userAccount: accountName |
| AlertPart | X | Obsoletos (os alertas de MDE são atômicos/completos que são atualizáveis, enquanto a API do SIEM eram registros imutáveis de detecções) |
| FullId | X | Campos IoC não compatíveis |
| LastProcessedTimeUtc | -> | lastActivityDateTime |
| ThreatCategory | -> | mitreTechniques [] |
| ThreatFamilyName | -> | threatFamilyName |
| ThreatName | -> | threatDisplayName |
| RemediaçãoAction | -> | evidência: remediationStatus |
| CorreçãoIsSuccess | -> | evidência: remediationStatus (implícita) |
| Origem | -> | detectionSource (use com serviceSource: microsoftDefenderForEndpoint) |
| Md5 | X | Sem suporte |
| Sha256 | -> | evidence/fileEvidence/fileDetails: sha256 (ou evidence/processEvidence/imageFile: sha256) |
| WasExecutingWhileDetected | -> | evidence/processEvidence: detectionStatus |
| UserDomain | -> | evidence/userEvidence/userAccount: domainName |
| LogOnUsers | -> | evidence/deviceEvidence: loggedOnUsers [] |
| MachineDomain | -> | Incluído em evidência/deviceEvidence: deviceDnsName |
| Machinename | -> | Incluído em evidência/deviceEvidence: deviceDnsName |
| InternalIPV4List | X | Sem suporte |
| InternalIPV6List | X | Sem suporte |
| FileHash | -> | Usar sha1 ou sha256 |
| DeviceID | -> | evidence/deviceEvidence: mdeDeviceId |
| MachineGroup | -> | evidence/deviceEvidence: rbacGroupName |
| Descrição | -> | description |
| DeviceCreatedMachineTags | -> | evidência: marcas [] (para deviceEvidence) |
| CloudCreatedMachineTags | -> | evidência: marcas [] (para deviceEvidence) |
| CommandLine | -> | evidence/processEvidence: processCommandLine |
| IncidentLinkToWDATP | -> | incidentWebUrl |
| ReportId | X | Obsoletos (os alertas de MDE são atômicos/completos que são atualizáveis, enquanto a API do SIEM eram registros imutáveis de detecções) |
| LinkToMTP | -> | alertWebUrl |
| IncidentLinkToMTP | -> | incidentWebUrl |
| ExternalId | X | Obsoleto |
| IocUniqueId | X | Campos IoC não compatíveis |
Ingerir alertas usando ferramentas de SIEM (gerenciamento de informações de segurança e eventos)
Observação
Microsoft Defender para Ponto de Extremidade Alert é composto por um ou mais eventos suspeitos ou mal-intencionados que ocorreram no dispositivo e seus detalhes relacionados. A API de Alerta Microsoft Defender para Ponto de Extremidade é a API mais recente para consumo de alertas e contém uma lista detalhada de evidências relacionadas para cada alerta. Para obter mais informações, consulte Métodos de alerta e propriedades e Alertas de lista.
Microsoft Defender para Ponto de Extremidade dá suporte a ferramentas de SIEM (gerenciamento de eventos e informações de segurança) que ingerem informações do locatário da empresa no Azure Active Directory (AAD) usando o protocolo de autenticação OAuth 2.0 para um aplicativo AAD registrado que representa a solução SIEM específica ou o conector instalado em seu ambiente.
Para saber mais, veja:
- Microsoft Defender para Ponto de Extremidade licença de APIs e termos de uso
- Acessar as APIs do Microsoft Defender para Ponto de Extremidade
- Olá, Mundo exemplo (descreve como registrar um aplicativo no Azure Active Directory)
- Obter acesso com o contexto do aplicativo
- Microsoft 365 Defender integração do SIEM
Dica
Quer saber mais? Envolva-se com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Comunidade Tecnológica.