Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Переход от устаревшего агента SIEM Defender for Cloud Apps к поддерживаемым API обеспечивает постоянный доступ к расширенным действиям и данным оповещений. Хотя API-интерфейсы могут не иметь точных сопоставлений "один к одному" с устаревшей схемой общего формата событий (CEF), они предоставляют комплексные и улучшенные данные за счет интеграции нескольких Microsoft Defender рабочих нагрузок.
Рекомендуемые API для миграции
Чтобы обеспечить непрерывность и доступ к данным, доступным в настоящее время через Microsoft Defender for Cloud Apps агентов SIEM, рекомендуется перейти на следующие поддерживаемые API:
- Оповещения и действия см. в разделе API потоковой передачи Microsoft Defender XDR.
- Сведения о событиях Защита Microsoft Entra ID входа см. в таблице IdentityLogonEvents в схеме расширенной охоты.
- Api оповещений системы безопасности Microsoft Graph см. в статье Список alerts_v2
- Сведения о Microsoft Defender for Cloud Apps данных оповещений в API инцидентов Microsoft Defender XDR см. в разделе API инцидентов Microsoft Defender XDR и тип ресурса инцидентов.
Сопоставление полей из устаревшей SIEM в поддерживаемые API
В приведенной ниже таблице поля CEF агента SIEM прежних версий сравниваются с ближайшими эквивалентными полями в API потоковой передачи Defender XDR (расширенная схема событий охоты) и API оповещений системы безопасности Microsoft Graph.
| Поле CEF (MDA SIEM) | Описание | API потоковой передачи Defender XDR (CloudAppEvents/AlertEvidence/AlertInfo) | API оповещений системы безопасности Graph (версия 2) |
|---|---|---|---|
start |
Метка времени действия или оповещения | Timestamp |
firstActivityDateTime |
end |
Метка времени действия или оповещения | Нет | lastActivityDateTime |
rt |
Метка времени действия или оповещения | createdDateTime |
createdDateTime / lastUpdateDateTime / resolvedDateTime |
msg |
Оповещение или описание действия, как показано на портале в понятном для человека формате | Ближайшие структурированные поля, которые добавляются в аналогичное описание: actorDisplayName, ObjectName, ActionType, ActivityType |
description |
suser |
Пользователь субъекта действий или оповещений |
AccountObjectId, AccountId, AccountDisplayName |
См. сведения о userEvidence типе ресурса |
destinationServiceName |
Действие или оповещение из исходного приложения (например, SharePoint, Box) | CloudAppEvents > Application |
См. сведения о cloudApplicationEvidence типе ресурса |
cs<X>Label, cs<X> |
Динамические поля оповещений или действий (например, целевой пользователь, объект) |
Entities, Evidence, additionalData, ActivityObjects |
Различные alertEvidence типы ресурсов |
EVENT_CATEGORY_* |
Категория активности высокого уровня | ActivityType / ActionType |
category |
<name> |
Совпадаемое имя политики |
Title, alertPolicyId |
Title, alertPolicyId |
<ACTION> (Действия) |
Определенный тип действия | ActionType |
Н/Д |
externalId (Действия) |
Идентификатор события | ReportId |
Н/Д |
requestClientApplication (действия) |
Агент пользователя клиентского устройства в действиях | UserAgent |
Н/Д |
Dvc (действия) |
IP-адрес клиентского устройства | IPAddress |
Н/Д |
externalId (Оповещение) |
Идентификатор оповещения | AlertId |
id |
<alert type> |
Тип оповещения (например, ALERT_CABINET_EVENT_MATCH_AUDI) | - | - |
Src
/
c6a1 (оповещения) |
Исходный IP-адрес | IPAddress |
ipEvidence Тип ресурса |