Поделиться через

Доступ к уведомлениям об инцидентах с помощью API Graph

  • Статья

Область применения:

Уведомления экспертов Defender — это инциденты, созданные в ходе охоты, проведенной экспертами Defender в вашей среде. Они содержат информацию о расследовании охоты и рекомендуемых действиях, предоставляемых экспертами Defender. Теперь вы можете получить доступ к DEN с помощью API безопасности Microsoft Graph.

Примечание.

Любой инцидент на портале Microsoft Defender представляет собой коллекцию коррелированных оповещений. Подробнее

На портале Microsoft Defender доступны следующие сведения об уведомлениях экспертов Defender:

  • Название инцидента начинается с экспертов Defender , чтобы отличать уведомления экспертов Defender от других инцидентов
  • Сводка для руководителей — содержит обзор сводки исследования.
  • Сводка рекомендаций — список рекомендуемых действий экспертов Defender
  • Расширенные охотничьи запросы — список преобразованных запросов охоты KQL, используемых для исследования.

В API безопасности Microsoft Graph также доступны следующие поля:

  • Конечная точка Graph - https://graph.microsoft.com/beta/security/incidents
  • Следующие имена полей , которые соответствуют указанным ранее сведениям:
    • displayName
    • description
    • recommendedActions
    • recommendedHuntingQueries

Примечание.

Эти поля скоро станут доступны в конечной точке Graph версии 1.0. Дополнительные сведения см. в статье Rest API Microsoft Graph версии 1.0.

Ваш подход к использованию уведомлений экспертов Defender из API будет отличаться в зависимости от подчиненной системы, которую вы планируете использовать, и ваших конкретных требований. Тем не менее, следующие шаги являются базовой реализацией, чтобы помочь вам приступить к работе:

Начиная с инцидентов в API Graph

  1. Получение инцидентов из API безопасности Graph.
  2. Проверьте наличие новых инцидентов, в которых displayName начинается с экспертов Defender.
  3. Продолжайте читать остальные поля для таких инцидентов.
  4. Синхронизируйте сведения о уведомлении экспертов Defender (DEN) с подчиненным инструментом (например, ServiceNow).

Начиная с оповещений в API Graph

  1. Получение оповещений из API безопасности Graph.
  2. Проверьте наличие новых оповещений, где detectionSource начинается с microsoftThreatExperts.
  3. Найдите соответствующий инцидент, проверив incidentId , указанный в оповещении.
  4. Продолжайте читать остальные поля для таких инцидентов.
  5. Синхронизируйте сведения о уведомлении экспертов Defender (DEN) с подчиненным инструментом (например, ServiceNow).

Следующее действие

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.