Миграция с API SIEM MDE на API оповещений Microsoft Defender XDR
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Использование нового API Microsoft Defender XDR для всех оповещений
API оповещений Microsoft Defender XDR, выпущенный в общедоступной предварительной версии в MS Graph, — это официальный и рекомендуемый API для клиентов, которые переходили с API SIEM. Этот API позволяет клиентам работать с оповещениями во всех продуктах Microsoft Defender XDR с помощью единой интеграции. Мы ожидаем, что к 1 кварталу 2023 г. новый API достигнет общедоступной доступности.
API SIEM был устарел 31 декабря 2023 г. Он объявлен "нерекомендуемый", но не "снят с учета". Это означает, что до этой даты API SIEM продолжает работать для существующих клиентов. После даты прекращения использования API SIEM будет по-прежнему доступен, однако он будет поддерживаться только для исправлений, связанных с безопасностью.
Начиная с 31 декабря 2024 г., через три года после первоначального объявления об устаревании, мы оставляем за собой право отключить API SIEM без дальнейшего уведомления.
Дополнительные сведения о новых API см. в объявлении блога: Новые API Microsoft Defender XDR в Microsoft Graph теперь доступны в общедоступной предварительной версии.
Документация по API. Использование API безопасности Microsoft Graph — Microsoft Graph
Если вы являетесь клиентом, использующим API SIEM, настоятельно рекомендуется планировать и выполнять миграцию. В этой статье содержатся сведения о параметрах, доступных для перехода на поддерживаемую возможность:
Извлечение оповещений MDE во внешнюю систему (SIEM/SOAR).
Узнайте о новом API оповещений и инцидентов Microsoft Defender XDR.
Извлечение оповещений Defender для конечной точки во внешнюю систему
Если вы извлекаете оповещения Defender для конечной точки во внешнюю систему, существует несколько поддерживаемых вариантов, которые позволяют организациям гибко работать с решением по своему выбору:
Microsoft Sentinel — это масштабируемое облачное решение ДЛЯ оркестрации, автоматизации и реагирования (SOAR) SIEM и безопасности. Предоставляет интеллектуальную аналитику безопасности и аналитику угроз на предприятии, предоставляя единое решение для обнаружения атак, видимости угроз, упреждающей охоты и реагирования на угрозы. Соединитель Microsoft Defender XDR позволяет клиентам легко получать все инциденты и оповещения из всех продуктов Microsoft Defender XDR. Дополнительные сведения об интеграции см. в статье Microsoft Defender XDR интеграции с Microsoft Sentinel.
IBM Security QRadar SIEM обеспечивает централизованную видимость и интеллектуальную аналитику безопасности для выявления и предотвращения угроз и уязвимостей, нарушающих бизнес-операции. Команда QRadar SIEM только что объявила о выпуске новой DSM, интегрированной с новым API оповещений Microsoft Defender XDR для извлечения оповещений Microsoft Defender для конечной точки. Новые клиенты могут воспользоваться преимуществами новой DSM после выпуска. Дополнительные сведения о новой DSM и о том, как легко выполнить миграцию на нее, см. в документации по IBM Microsoft Defender XDR.
Splunk SOAR помогает клиентам управлять рабочими процессами и автоматизировать задачи за считанные секунды, чтобы работать интеллектуально и быстрее реагировать. Splunk SOAR интегрирован с новыми API Microsoft Defender XDR, включая API оповещений. Дополнительные сведения см. в разделе Microsoft Defender XDR | Splunkbase
Другие интеграции перечислены в разделе Технологические партнеры Microsoft Defender XDR или обратитесь к поставщику SIEM/SOAR, чтобы узнать об интеграции, которые они предоставляют.
Вызов API оповещений Microsoft Defender XDR напрямую
В приведенной ниже таблице представлено сопоставление МЕЖДУ API SIEM и API оповещений Microsoft Defender XDR:
| Свойство API SIEM | Сопоставление | свойство API оповещений Microsoft Defender XDR |
|---|---|---|
AlertTime |
-> | createdDateTime |
ComputerDnsName |
-> | evidence/deviceEvidence: deviceDnsName |
AlertTitle |
-> | title |
Category |
-> | category |
Severity |
-> | severity |
AlertId |
-> | id |
Actor |
-> | actorDisplayName |
LinkToWDATP |
-> | alertWebUrl |
IocName |
X | Поля IoC не поддерживаются |
IocValue |
X | Поля IoC не поддерживаются |
CreatorIocName |
X | Поля IoC не поддерживаются |
CreatorIocValue |
X | Поля IoC не поддерживаются |
Sha1 |
-> | evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1) |
FileName |
-> | evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName) |
FilePath |
-> | evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath) |
IPAddress |
-> | evidence/ipEvidence: ipAddress |
URL |
-> | evidence/urlEvidence: url |
IoaDefinitionId |
-> | detectorId |
UserName |
-> | evidence/userEvidence/userAccount: accountName |
AlertPart |
X | Устарело (оповещения Defender для конечной точки являются атомарными или полными, обновляемыми, в то время как API SIEM были неизменяемыми записями обнаружения) |
FullId |
X | Поля IoC не поддерживаются |
LastProcessedTimeUtc |
-> | lastActivityDateTime |
ThreatCategory |
-> | mitreTechniques [] |
ThreatFamilyName |
-> | threatFamilyName |
ThreatName |
-> | threatDisplayName |
RemediationAction |
-> | evidence: remediationStatus |
RemediationIsSuccess |
-> | evidence: remediationStatus (implied) |
Source |
-> | detectionSource (use with serviceSource: microsoftDefenderForEndpoint) |
Md5 |
X | Не поддерживается |
Sha256 |
-> | evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256) |
WasExecutingWhileDetected |
-> | evidence/processEvidence: detectionStatus |
UserDomain |
-> | evidence/userEvidence/userAccount: domainName |
LogOnUsers |
-> | evidence/deviceEvidence: loggedOnUsers [] |
MachineDomain |
-> | Включено в evidence/deviceEvidence: deviceDnsName |
MachineName |
-> | Включено в evidence/deviceEvidence: deviceDnsName |
InternalIPV4List |
X | Не поддерживается |
InternalIPV6List |
X | Не поддерживается |
FileHash |
-> | Используйте sha1 или sha256 |
DeviceID |
-> | evidence/deviceEvidence: mdeDeviceId |
MachineGroup |
-> | evidence/deviceEvidence: rbacGroupName |
Description |
-> | description |
DeviceCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CloudCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CommandLine |
-> | evidence/processEvidence: processCommandLine |
IncidentLinkToWDATP |
-> | incidentWebUrl |
ReportId |
X | Устарело (оповещения Defender для конечной точки являются атомарными или полными, обновляемыми, в то время как API SIEM были неизменяемыми записями обнаружения) |
LinkToMTP |
-> | alertWebUrl |
IncidentLinkToMTP |
-> | incidentWebUrl |
ExternalId |
X | Obsolete |
IocUniqueId |
X | Поля IoC не поддерживаются |
Прием оповещений с помощью средств управления информационной безопасностью и событиями безопасности (SIEM)
Примечание.
Microsoft Defender для конечной точки оповещение состоит из одного или нескольких подозрительных или вредоносных событий, произошедших на устройстве, и их связанных сведений. API оповещений Microsoft Defender для конечной точки является последним API для потребления оповещений и содержит подробный список связанных доказательств для каждого оповещения. Дополнительные сведения см. в разделах Методы и свойства оповещений и Список оповещений.
Microsoft Defender для конечной точки поддерживает средства управления информационной безопасностью и событиями безопасности (SIEM), которые в Microsoft Entra ID используют протокол проверки подлинности OAuth 2.0 для зарегистрированного Microsoft Entra приложение, представляющее конкретное решение SIEM или соединитель, установленный в вашей среде.
Дополнительные сведения см. в разделе:
- лицензия на API Microsoft Defender для конечной точки и условия использования
- Доступ к API Microsoft Defender для конечной точки
- Hello World пример (описывается, как зарегистрировать приложение в Microsoft Entra ID)
- Получение доступа с помощью контекста приложения
- интеграция Microsoft Defender XDR SIEM
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.