Aceder a notificações de incidentes com Graph API
Aplica-se a:
As Notificações de Especialistas em Defender são incidentes que foram gerados a partir da investigação realizada por Especialistas do Defender no seu ambiente. Contêm informações sobre a investigação de investigação e as ações recomendadas fornecidas pelos Especialistas do Defender. Agora, pode aceder a DENs com a API de segurança do Microsoft Graph.
Nota
Qualquer incidente no portal do Microsoft Defender é uma coleção de alertas correlacionados. Saiba mais
Os seguintes detalhes de Notificação de Especialistas em Defender estão disponíveis no portal do Microsoft Defender:
- Título do incidente – começa com Especialistas do Defender para distinguir notificações de Especialistas do Defender de outros incidentes
- Resumo executivo - fornece uma descrição geral do resumo da investigação
- Resumo da recomendação – lista as ações recomendadas dos Especialistas do Defender
- Consultas de investigação avançadas – lista as consultas de investigação KQL convertidas utilizadas para a investigação
Na API de segurança do Microsoft Graph, também estão disponíveis os seguintes campos:
- Ponto final do gráfico - https://graph.microsoft.com/beta/security/incidents
- Os seguintes nomes de campo que correspondem aos detalhes mencionados anteriormente:
- Displayname
- descrição
- recommendedActions
- recommendedHuntingQueries
Nota
Estes campos estarão disponíveis em breve no ponto final do Graph v1.0. Para obter mais informações, veja Microsoft Graph REST API v1.0 (API REST do Microsoft Graph v1.0)
A sua abordagem para consumir Notificações de Especialistas em Defender da API irá variar consoante o sistema a jusante que pretende utilizar e os seus requisitos específicos. No entanto, os seguintes passos são uma implementação básica para ajudá-lo a começar:
A partir de incidentes no Graph API
- Obter incidentes a partir da API de segurança do Graph.
- Verifique se existem novos incidentes em que displayName começa com Especialistas do Defender.
- Continue a ler os restantes campos para tais incidentes.
- Sincronize as informações de Notificação de Especialistas do Defender (DEN) na sua ferramenta a jusante (por exemplo, ServiceNow).
Começar a partir de alertas no Graph API
- Obtenha alertas da Graph Security API.
- Verifique se existem novos alertas em que detectionSource começa com microsoftThreatExperts.
- Procure o incidente correspondente ao verificar incidentId listado no alerta.
- Continue a ler os restantes campos para tais incidentes.
- Sincronize as informações de Notificação de Especialistas do Defender (DEN) na sua ferramenta a jusante (por exemplo, ServiceNow).
Passo seguinte
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.