Миграция с API SIEM MDE на API оповещений Microsoft Defender XDR
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
API оповещений Microsoft Defender XDR, выпущенный в общедоступной предварительной версии в MS Graph, — это официальный и рекомендуемый API для клиентов, которые переходили с API SIEM. Этот API позволяет клиентам работать с оповещениями во всех продуктах Microsoft Defender XDR с помощью единой интеграции. Мы ожидаем, что к 1 кварталу 2023 г. новый API достигнет общедоступной доступности.
API SIEM был устарел 31 декабря 2023 г. Он объявлен "нерекомендуемый", но не "снят с учета". Это означает, что до этой даты API SIEM продолжает работать для существующих клиентов. После даты прекращения использования API SIEM будет по-прежнему доступен, однако он будет поддерживаться только для исправлений, связанных с безопасностью.
Начиная с 31 декабря 2024 г., через три года после первоначального объявления об устаревании, мы оставляем за собой право отключить API SIEM без дальнейшего уведомления.
Дополнительные сведения о новых API см. в объявлении блога: Новые API Microsoft Defender XDR в Microsoft Graph теперь доступны в общедоступной предварительной версии.
Документация по API. Использование API безопасности Microsoft Graph — Microsoft Graph
Если вы являетесь клиентом, использующим API SIEM, настоятельно рекомендуется планировать и выполнять миграцию. В этой статье содержатся сведения о параметрах, доступных для перехода на поддерживаемую возможность:
Извлечение оповещений MDE во внешнюю систему (SIEM/SOAR).
Узнайте о новом API оповещений и инцидентов Microsoft Defender XDR.
Если вы извлекаете оповещения Defender для конечной точки во внешнюю систему, существует несколько поддерживаемых вариантов, которые позволяют организациям гибко работать с решением по своему выбору:
Microsoft Sentinel — это масштабируемое облачное решение ДЛЯ оркестрации, автоматизации и реагирования (SOAR) SIEM и безопасности. Предоставляет интеллектуальную аналитику безопасности и аналитику угроз на предприятии, предоставляя единое решение для обнаружения атак, видимости угроз, упреждающей охоты и реагирования на угрозы. Соединитель Microsoft Defender XDR позволяет клиентам легко получать все инциденты и оповещения из всех продуктов Microsoft Defender XDR. Дополнительные сведения об интеграции см. в статье Microsoft Defender XDR интеграции с Microsoft Sentinel.
IBM Security QRadar SIEM обеспечивает централизованную видимость и интеллектуальную аналитику безопасности для выявления и предотвращения угроз и уязвимостей, нарушающих бизнес-операции. Команда QRadar SIEM только что объявила о выпуске новой DSM, интегрированной с новым API оповещений Microsoft Defender XDR для извлечения оповещений Microsoft Defender для конечной точки. Новые клиенты могут воспользоваться преимуществами новой DSM после выпуска. Дополнительные сведения о новой DSM и о том, как легко выполнить миграцию на нее, см. в документации по IBM Microsoft Defender XDR.
Splunk SOAR помогает клиентам управлять рабочими процессами и автоматизировать задачи за считанные секунды, чтобы работать интеллектуально и быстрее реагировать. Splunk SOAR интегрирован с новыми API Microsoft Defender XDR, включая API оповещений. Дополнительные сведения см. в разделе Microsoft Defender XDR | Splunkbase
Другие интеграции перечислены в разделе Технологические партнеры Microsoft Defender XDR или обратитесь к поставщику SIEM/SOAR, чтобы узнать об интеграции, которые они предоставляют.
В приведенной ниже таблице представлено сопоставление МЕЖДУ API SIEM и API оповещений Microsoft Defender XDR:
Свойство API SIEM | Сопоставление | свойство API оповещений Microsoft Defender XDR |
---|---|---|
AlertTime |
-> | createdDateTime |
ComputerDnsName |
-> | evidence/deviceEvidence: deviceDnsName |
AlertTitle |
-> | title |
Category |
-> | category |
Severity |
-> | severity |
AlertId |
-> | id |
Actor |
-> | actorDisplayName |
LinkToWDATP |
-> | alertWebUrl |
IocName |
X | Поля IoC не поддерживаются |
IocValue |
X | Поля IoC не поддерживаются |
CreatorIocName |
X | Поля IoC не поддерживаются |
CreatorIocValue |
X | Поля IoC не поддерживаются |
Sha1 |
-> | evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1) |
FileName |
-> | evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName) |
FilePath |
-> | evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath) |
IPAddress |
-> | evidence/ipEvidence: ipAddress |
URL |
-> | evidence/urlEvidence: url |
IoaDefinitionId |
-> | detectorId |
UserName |
-> | evidence/userEvidence/userAccount: accountName |
AlertPart |
X | Устарело (оповещения Defender для конечной точки являются атомарными или полными, обновляемыми, в то время как API SIEM были неизменяемыми записями обнаружения) |
FullId |
X | Поля IoC не поддерживаются |
LastProcessedTimeUtc |
-> | lastActivityDateTime |
ThreatCategory |
-> | mitreTechniques [] |
ThreatFamilyName |
-> | threatFamilyName |
ThreatName |
-> | threatDisplayName |
RemediationAction |
-> | evidence: remediationStatus |
RemediationIsSuccess |
-> | evidence: remediationStatus (implied) |
Source |
-> | detectionSource (use with serviceSource: microsoftDefenderForEndpoint) |
Md5 |
X | Не поддерживается |
Sha256 |
-> | evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256) |
WasExecutingWhileDetected |
-> | evidence/processEvidence: detectionStatus |
UserDomain |
-> | evidence/userEvidence/userAccount: domainName |
LogOnUsers |
-> | evidence/deviceEvidence: loggedOnUsers [] |
MachineDomain |
-> | Включено в evidence/deviceEvidence: deviceDnsName |
MachineName |
-> | Включено в evidence/deviceEvidence: deviceDnsName |
InternalIPV4List |
X | Не поддерживается |
InternalIPV6List |
X | Не поддерживается |
FileHash |
-> | Используйте sha1 или sha256 |
DeviceID |
-> | evidence/deviceEvidence: mdeDeviceId |
MachineGroup |
-> | evidence/deviceEvidence: rbacGroupName |
Description |
-> | description |
DeviceCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CloudCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CommandLine |
-> | evidence/processEvidence: processCommandLine |
IncidentLinkToWDATP |
-> | incidentWebUrl |
ReportId |
X | Устарело (оповещения Defender для конечной точки являются атомарными или полными, обновляемыми, в то время как API SIEM были неизменяемыми записями обнаружения) |
LinkToMTP |
-> | alertWebUrl |
IncidentLinkToMTP |
-> | incidentWebUrl |
ExternalId |
X | Obsolete |
IocUniqueId |
X | Поля IoC не поддерживаются |
Прием оповещений с помощью средств управления информационной безопасностью и событиями безопасности (SIEM)
Примечание
Microsoft Defender для конечной точки оповещение состоит из одного или нескольких подозрительных или вредоносных событий, произошедших на устройстве, и их связанных сведений. API оповещений Microsoft Defender для конечной точки является последним API для потребления оповещений и содержит подробный список связанных доказательств для каждого оповещения. Дополнительные сведения см. в разделах Методы и свойства оповещений и Список оповещений.
Microsoft Defender для конечной точки поддерживает средства управления информационной безопасностью и событиями безопасности (SIEM), которые в Microsoft Entra ID используют протокол проверки подлинности OAuth 2.0 для зарегистрированного Microsoft Entra приложение, представляющее конкретное решение SIEM или соединитель, установленный в вашей среде.
Дополнительные сведения см. в разделе:
- лицензия на API Microsoft Defender для конечной точки и условия использования
- Доступ к API Microsoft Defender для конечной точки
- Hello World пример (описывается, как зарегистрировать приложение в Microsoft Entra ID)
- Получение доступа с помощью контекста приложения
- интеграция Microsoft Defender XDR SIEM
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.