Partilhar via


Descrição geral da gestão e APIs

Aplica-se a:

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

O Defender para Endpoint suporta uma grande variedade de opções para garantir que os clientes podem adotar facilmente a plataforma.

Reconhecendo que os ambientes e estruturas dos clientes podem variar, o Defender para Endpoint foi criado com flexibilidade e controlo granular para se ajustar aos diferentes requisitos dos clientes.

Inclusão de pontos finais e acesso ao portal

A integração de dispositivos está totalmente integrada no Microsoft Configuration Manager e Microsoft Intune para dispositivos cliente e Microsoft Defender para dispositivos de servidor, proporcionando uma experiência completa de configuração, implementação e monitorização. Além disso, Microsoft Defender para Endpoint suporta Política de Grupo e outras ferramentas de terceiros utilizadas para a gestão de dispositivos.

O Defender para Endpoint fornece um controlo detalhado sobre o que os utilizadores com acesso ao portal podem ver e fazer através da flexibilidade do controlo de acesso baseado em funções (RBAC). O modelo RBAC suporta todos os tipos de estrutura das equipas de segurança:

  • Organizações distribuídas globalmente e equipas de segurança
  • Equipas de operações de segurança de modelos em camadas
  • Divisões totalmente segregadas com uma única equipa centralizada de operações de segurança global

APIs disponíveis

A solução Microsoft Defender para Endpoint baseia-se numa plataforma pronta para integração.

O Defender para Endpoint expõe grande parte dos seus dados e ações através de um conjunto de APIs programáticas. Essas APIs permitir-lhe-ão automatizar fluxos de trabalho e inovar com base nas capacidades do Defender para Endpoint.

A API disponível e a integração no Microsoft Defender para Endpoint

As APIs do Defender para Endpoint podem ser agrupadas em três:

  • APIs Microsoft Defender para Endpoint
  • API de transmissão de dados não processados
  • Integração SIEM

APIs Microsoft Defender para Endpoint

O Defender para Endpoint oferece um modelo de API em camadas que expõe dados e capacidades num modelo estruturado, claro e fácil de utilizar, exposto através de um modelo de autenticação e autorização baseado em Azure AD padrão que permite o acesso no contexto de utilizadores ou aplicações SaaS. O modelo de API foi concebido para expor entidades e capacidades de uma forma consistente.

Veja este vídeo para obter uma descrição geral rápida das APIs do Defender para Endpoint.

A API de Investigação expõe a riqueza do Defender para Endpoint , expondo entidades calculadas ou "perfiladas" (por exemplo, dispositivo, utilizador e ficheiro) e eventos discretos (por exemplo, criação de processos e criação de ficheiros), que normalmente descreve um comportamento relacionado com uma entidade, permitindo o acesso aos dados através de interfaces de investigação que permitem um acesso baseado em consultas aos dados. Para obter mais informações, veja APIs suportadas.

A API de Resposta expõe a capacidade de realizar ações no serviço e nos dispositivos, permitindo aos clientes ingerir indicadores, gerir definições, estado de alerta, bem como realizar ações de resposta em dispositivos programaticamente, como isolar dispositivos da rede, ficheiros de quarentena, entre outros.

API de transmissão de dados não processados

A API de transmissão em fluxo de dados não processados do Defender para Endpoint permite que os clientes enviem eventos e alertas em tempo real a partir das respetivas instâncias à medida que ocorrem num único fluxo de dados, proporcionando um mecanismo de entrega de débito elevado e latência baixa.

As informações de eventos do Defender para Endpoint são enviadas diretamente para o armazenamento do Azure para retenção de dados de longo prazo ou para Hubs de Eventos do Azure para consumo por serviços de visualização ou motores de processamento de dados adicionais.

Para obter mais informações, veja API de transmissão em fluxo de dados não processados.

A nova API de Transmissão em Fluxo de Microsoft Defender XDR inclui eventos de e-mail e alertas, além de eventos de dispositivos. Para obter mais informações, veja Microsoft Defender XDR API de Transmissão em Fluxo.

SIEM API

Quando ativa a integração da gestão de informações e eventos de segurança (SIEM), esta permite-lhe solicitar deteções de Microsoft Defender XDR através da sua solução SIEM ou ao ligar diretamente à API REST de deteções. Isto ativa a secção de detalhes de acesso do conector SIEM com valores pré-preenchidos e é criada uma aplicação no seu inquilino Microsoft Entra.

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.