Not
Åtkomst till denna sida kräver auktorisation. Du kan prova att logga in eller byta katalog.
Åtkomst till denna sida kräver auktorisation. Du kan prova att byta katalog.
Övergången från den äldre Defender for Cloud Apps SIEM-agenten till API:er som stöds ger fortsatt åtkomst till berikade aktiviteter och aviseringsdata. Även om API:erna kanske inte har exakta en-till-en-mappningar till det äldre CEF-schemat (Common Event Format), ger de omfattande, förbättrade data genom integrering över flera Microsoft Defender arbetsbelastningar.
Rekommenderade API:er för migrering
För att säkerställa kontinuitet och åtkomst till data som för närvarande är tillgängliga via Microsoft Defender for Cloud Apps SIEM-agenter rekommenderar vi att du övergår till följande API:er som stöds:
- Information om aviseringar och aktiviteter finns i: Microsoft Defender XDR API för direktuppspelning.
- Information om Microsoft Entra ID Protection inloggningshändelser finns i tabellen IdentityLogonEvents i det avancerade jaktschemat.
- Information om API:et för Säkerhetsaviseringar i Microsoft Graph finns i: Lista alerts_v2
- Om du vill visa Microsoft Defender for Cloud Apps aviseringsdata i API:et för Microsoft Defender XDR incidenter kan du läsa Microsoft Defender XDR incident-API:er och incidentresurstypen
Fältmappning från äldre SIEM till API:er som stöds
I tabellen nedan jämförs den äldre SIEM-agentens CEF-fält med de närmaste motsvarande fälten i api:et Defender XDR Streaming (avancerat jakthändelseschema) och API:et för Microsoft Graph Security Alerts.
| CEF-fält (MDA SIEM) | Beskrivning | Defender XDR Streaming API (CloudAppEvents/AlertEvidence/AlertInfo) | API för Graph Security Alerts (v2) |
|---|---|---|---|
start |
Tidsstämpel för aktivitet eller avisering | Timestamp |
firstActivityDateTime |
end |
Tidsstämpel för aktivitet eller avisering | Ingen | lastActivityDateTime |
rt |
Tidsstämpel för aktivitet eller avisering | createdDateTime |
createdDateTime / lastUpdateDateTime / resolvedDateTime |
msg |
Aviserings- eller aktivitetsbeskrivning som visas i portalen i ett läsbart format för människor | De närmaste strukturerade fälten som bidrar till en liknande beskrivning: actorDisplayName, ObjectName, ActionType, ActivityType |
description |
suser |
Användare av aktivitets- eller aviseringsämne |
AccountObjectId, AccountId, AccountDisplayName |
Se userEvidence resurstyp |
destinationServiceName |
Aktivitet eller avisering från den ursprungliga appen (till exempel SharePoint, Box) | CloudAppEvents > Application |
Se cloudApplicationEvidence resurstyp |
cs<X>Label, cs<X> |
Dynamiska fält för aviseringar eller aktiviteter (till exempel målanvändare, objekt) |
Entities, Evidence, additionalData, ActivityObjects |
Olika alertEvidence resurstyper |
EVENT_CATEGORY_* |
Aktivitetskategori på hög nivå | ActivityType / ActionType |
category |
<name> |
Matchat principnamn |
Title, alertPolicyId |
Title, alertPolicyId |
<ACTION> (Aktiviteter) |
Specifik aktivitetstyp | ActionType |
EJ TILLÄMPLIGT |
externalId (Aktiviteter) |
Händelse-ID | ReportId |
EJ TILLÄMPLIGT |
requestClientApplication (aktiviteter) |
Användaragent för klientenheten i aktiviteter | UserAgent |
EJ TILLÄMPLIGT |
Dvc (aktiviteter) |
Klientenhetens IP-adress | IPAddress |
EJ TILLÄMPLIGT |
externalId (Avisering) |
Aviserings-ID | AlertId |
id |
<alert type> |
Aviseringstyp (till exempel ALERT_CABINET_EVENT_MATCH_AUDI) | - | - |
Src
/
c6a1 (aviseringar) |
Käll-IP | IPAddress |
ipEvidence resurstyp |