Partilhar via


Aceder a notificações de incidentes com Graph API

Aplica-se a:

As Notificações de Especialistas em Defender são incidentes que foram gerados a partir da investigação realizada por Especialistas do Defender no seu ambiente. Contêm informações sobre a investigação de investigação e as ações recomendadas fornecidas pelos Especialistas do Defender. Agora, pode aceder a DENs com a API de segurança do Microsoft Graph.

Nota

Qualquer incidente no portal do Microsoft Defender é uma coleção de alertas correlacionados. Saiba mais

Os seguintes detalhes de Notificação de Especialistas em Defender estão disponíveis no portal do Microsoft Defender:

  • Título do incidente – começa com Especialistas do Defender para distinguir notificações de Especialistas do Defender de outros incidentes
  • Resumo executivo - fornece uma descrição geral do resumo da investigação
  • Resumo da recomendação – lista as ações recomendadas dos Especialistas do Defender
  • Consultas de investigação avançadas – lista as consultas de investigação KQL convertidas utilizadas para a investigação

Na API de segurança do Microsoft Graph, também estão disponíveis os seguintes campos:

Nota

Estes campos estarão disponíveis em breve no ponto final do Graph v1.0. Para obter mais informações, veja Microsoft Graph REST API v1.0 (API REST do Microsoft Graph v1.0)

A sua abordagem para consumir Notificações de Especialistas em Defender da API irá variar consoante o sistema a jusante que pretende utilizar e os seus requisitos específicos. No entanto, os seguintes passos são uma implementação básica para ajudá-lo a começar:

A partir de incidentes no Graph API

  1. Obter incidentes a partir da API de segurança do Graph.
  2. Verifique se existem novos incidentes em que displayName começa com Especialistas do Defender.
  3. Continue a ler os restantes campos para tais incidentes.
  4. Sincronize as informações de Notificação de Especialistas do Defender (DEN) na sua ferramenta a jusante (por exemplo, ServiceNow).

Começar a partir de alertas no Graph API

  1. Obtenha alertas da Graph Security API.
  2. Verifique se existem novos alertas em que detectionSource começa com microsoftThreatExperts.
  3. Procure o incidente correspondente ao verificar incidentId listado no alerta.
  4. Continue a ler os restantes campos para tais incidentes.
  5. Sincronize as informações de Notificação de Especialistas do Defender (DEN) na sua ferramenta a jusante (por exemplo, ServiceNow).

Passo seguinte

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.