Migrar da API SIEM do MDE para a API de alertas de Microsoft Defender XDR

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2
• Microsoft Defender XDR

Utilizar a nova API de Microsoft Defender XDR para todos os alertas

A API de alertas de Microsoft Defender XDR, lançada para pré-visualização pública no MS Graph, é a API oficial e recomendada para os clientes que migram a partir da API SIEM. Esta API permite que os clientes trabalhem com alertas em todos os produtos Microsoft Defender XDR com uma única integração. Esperamos que a nova API atinja a disponibilidade geral (GA) até ao 1.º trimestre de 2023.

A API SIEM foi preterida a 31 de dezembro de 2023. É declarado como "preterido", mas não "reformado". Isto significa que, até esta data, a API SIEM continua a funcionar para os clientes existentes. Após a data de preterição, a API SIEM continuará disponível. No entanto, só será suportada para correções relacionadas com segurança.

A partir de 31 de dezembro de 2024, três anos após o anúncio da preterição original, reservamo-nos o direito de desativar a API SIEM, sem aviso prévio.

Para obter informações adicionais sobre as novas APIs, veja o anúncio do blogue: As novas APIs Microsoft Defender XDR no Microsoft Graph estão agora disponíveis em pré-visualização pública!

Documentação da API: Utilizar a API de segurança do Microsoft Graph – Microsoft Graph

Se for um cliente que utiliza a API SIEM, recomendamos vivamente que planeie e execute a migração. Este artigo inclui informações sobre as opções disponíveis para migrar para uma capacidade suportada:

1. Solicitar MDE alertas para um sistema externo (SIEM/SOAR).

2. Chamar a API de alertas de Microsoft Defender XDR diretamente.

Leia mais sobre a nova API de alertas e incidentes de Microsoft Defender XDR

Solicitar alertas do Defender para Endpoint para um sistema externo

Se estiver a solicitar alertas do Defender para Endpoint para um sistema externo, existem várias opções suportadas para dar às organizações a flexibilidade para trabalharem com a solução à sua escolha:

1. O Microsoft Sentinel é uma solução de orquestração, automatização e resposta (SOAR) dimensionável, nativa da cloud, SIEM e Segurança. Fornece análises de segurança inteligentes e informações sobre ameaças em toda a empresa, fornecendo uma solução única para deteção de ataques, visibilidade de ameaças, investigação proativa e resposta a ameaças. O conector Microsoft Defender XDR permite que os clientes obtenham facilmente todos os incidentes e alertas de todos os produtos Microsoft Defender XDR. Para saber mais sobre a integração, veja Microsoft Defender XDR integração com o Microsoft Sentinel.

2. QRadar de Segurança IBM O SIEM fornece visibilidade centralizada e análises de segurança inteligentes para identificar e impedir que ameaças e vulnerabilidades perturbem as operações empresariais. A equipa de SIEM do QRadar acaba de anunciar o lançamento de um novo DSM integrado com a nova API de alertas de Microsoft Defender XDR para solicitar alertas Microsoft Defender para Endpoint. Os novos clientes são bem-vindos para tirar partido do novo DSM após o lançamento. Saiba mais sobre o novo DSM e como migrar facilmente para o mesmo no Microsoft Defender XDR – Documentação da IBM.

3. O Splunk SOAR ajuda os clientes a orquestrar fluxos de trabalho e a automatizar tarefas em segundos para trabalharem de forma mais inteligente e responderem mais rapidamente. O Splunk SOAR está integrado com as novas APIs Microsoft Defender XDR, incluindo a API de alertas. Para obter mais informações, consulte Microsoft Defender XDR | Splunkbase

Outras integrações estão listadas em Parceiros tecnológicos de Microsoft Defender XDR ou contacte o seu fornecedor SIEM/SOAR para saber mais sobre as integrações que fornecem.

Chamar a API de alertas de Microsoft Defender XDR diretamente

A tabela abaixo fornece um mapeamento entre a API SIEM para a API de alertas de Microsoft Defender XDR:

Propriedade da API SIEM	Mapeamento	Microsoft Defender XDR propriedade da API de alerta
AlertTime	->	createdDateTime
ComputerDnsName	->	evidence/deviceEvidence: deviceDnsName
AlertTitle	->	title
Category	->	category
Severity	->	severity
AlertId	->	id
Actor	->	actorDisplayName
LinkToWDATP	->	alertWebUrl
IocName	X	Campos IoC não suportados
IocValue	X	Campos IoC não suportados
CreatorIocName	X	Campos IoC não suportados
CreatorIocValue	X	Campos IoC não suportados
Sha1	->	evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName	->	evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath	->	evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress	->	evidence/ipEvidence: ipAddress
URL	->	evidence/urlEvidence: url
IoaDefinitionId	->	detectorId
UserName	->	evidence/userEvidence/userAccount: accountName
AlertPart	X	Obsoleto (os alertas do Defender para Endpoint são atómicos/completos que são atualizáveis, enquanto a API SIEM eram registos imutáveis de deteções)
FullId	X	Campos IoC não suportados
LastProcessedTimeUtc	->	lastActivityDateTime
ThreatCategory	->	mitreTechniques []
ThreatFamilyName	->	threatFamilyName
ThreatName	->	threatDisplayName
RemediationAction	->	evidence: remediationStatus
RemediationIsSuccess	->	evidence: remediationStatus (implied)
Source	->	detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5	X	Not supported
Sha256	->	evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected	->	evidence/processEvidence: detectionStatus
UserDomain	->	evidence/userEvidence/userAccount: domainName
LogOnUsers	->	evidence/deviceEvidence: loggedOnUsers []
MachineDomain	->	Incluído no evidence/deviceEvidence: deviceDnsName
MachineName	->	Incluído no evidence/deviceEvidence: deviceDnsName
InternalIPV4List	X	Not supported
InternalIPV6List	X	Not supported
FileHash	->	Utilizar sha1 ou sha256
DeviceID	->	evidence/deviceEvidence: mdeDeviceId
MachineGroup	->	evidence/deviceEvidence: rbacGroupName
Description	->	description
DeviceCreatedMachineTags	->	evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags	->	evidence: tags [] (for deviceEvidence)
CommandLine	->	evidence/processEvidence: processCommandLine
IncidentLinkToWDATP	->	incidentWebUrl
ReportId	X	Obsoleto (os alertas do Defender para Endpoint são atómicos/completos que são atualizáveis, enquanto a API SIEM eram registos imutáveis de deteções)
LinkToMTP	->	alertWebUrl
IncidentLinkToMTP	->	incidentWebUrl
ExternalId	X	Obsoleto
IocUniqueId	X	Campos IoC não suportados

Ingerir alertas com as ferramentas de gestão de informações e eventos de segurança (SIEM)

Nota

Microsoft Defender para Endpoint Alerta é composto por um ou mais eventos suspeitos ou maliciosos que ocorreram no dispositivo e os respetivos detalhes relacionados. A API de Alerta de Microsoft Defender para Endpoint é a API mais recente para consumo de alertas e contém uma lista detalhada de provas relacionadas para cada alerta. Para obter mais informações, veja Métodos de alerta e propriedades e Listar alertas.

Microsoft Defender para Endpoint suporta as ferramentas de gestão de informações e eventos de segurança (SIEM) que ingerem informações do inquilino da empresa no Microsoft Entra ID através do protocolo de autenticação OAuth 2.0 para uma Microsoft Entra registada aplicação que representa a solução ou conector SIEM específico instalado no seu ambiente.

Para mais informações, consulte:

• Microsoft Defender para Endpoint licença de APIs e termos de utilização
• Aceder às APIs do Microsoft Defender para Endpoint
• Hello World exemplo (descreve como registar uma aplicação no Microsoft Entra ID)
• Obter acesso com o contexto da aplicação
• integração Microsoft Defender XDR SIEM

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.