Dela via


Översikt över hantering och API:er

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Defender för Endpoint stöder en mängd olika alternativ för att säkerställa att kunderna enkelt kan använda plattformen.

Defender för Endpoint har skapats med flexibilitet och detaljerad kontroll för att passa olika kundkrav.

Slutpunktsregistrering och portalåtkomst

Enhetsregistrering är helt integrerad i Microsoft Configuration Manager och Microsoft Intune för klientenheter och Microsoft Defender för serverenheter, vilket ger en fullständig upplevelse av konfiguration, distribution och övervakning från slutpunkt till slutpunkt. Dessutom stöder Microsoft Defender för Endpoint grupprincip och andra verktyg från tredje part som används för enhetshantering.

Defender för Endpoint ger detaljerad kontroll över vad användare med åtkomst till portalen kan se och göra genom flexibiliteten i rollbaserad åtkomstkontroll (RBAC). RBAC-modellen stöder alla varianter av säkerhetsteamens struktur:

  • Globalt distribuerade organisationer och säkerhetsteam
  • Säkerhetsåtgärdsteam för nivåindelade modeller
  • Helt åtskilda divisioner med enskilda centraliserade globala säkerhetsteam

Tillgängliga API:er

Den Microsoft Defender för Endpoint lösningen bygger på en integrationsklar plattform.

Defender för Endpoint exponerar mycket av sina data och åtgärder via en uppsättning programmatiska API:er. Med dessa API:er kan du automatisera arbetsflöden och innovationer baserat på funktionerna i Defender för Endpoint.

Tillgängligt API och integrering i Microsoft Defender för Endpoint

Defender för Endpoint-API:erna kan grupperas i tre:

  • Microsoft Defender för Endpoint API:er
  • API för direktuppspelning av rådata
  • SIEM-integrering

Microsoft Defender för Endpoint API:er

Defender för Endpoint erbjuder en skiktad API-modell som exponerar data och funktioner i en strukturerad, tydlig och lättanvänd modell som exponeras via en standardmodell för Azure AD-baserad autentisering och auktorisering som tillåter åtkomst i kontexten för användare eller SaaS-program. API-modellen har utformats för att exponera entiteter och funktioner i en konsekvent form.

Titta på den här videon för en snabb översikt över API:erna för Defender för Endpoint.

Undersöknings-API:et exponerar rikedomen i Defender för Endpoint – exponerar beräknade eller "profilerade" entiteter (till exempel enhet, användare och fil) och diskreta händelser (till exempel processskapande och filskapande) som vanligtvis beskriver ett beteende som är relaterat till en entitet, vilket ger åtkomst till data via undersökningsgränssnitt som tillåter frågebaserad åtkomst till data. Mer information finns i API:er som stöds.

Svars-API:et visar möjligheten att vidta åtgärder i tjänsten och på enheter, vilket gör det möjligt för kunder att mata in indikatorer, hantera inställningar, aviseringsstatus samt vidta svarsåtgärder på enheter programmatiskt, till exempel isolera enheter från nätverket, karantänfiler och andra.

API för direktuppspelning av rådata

Api:et för rådataströmning i Defender för Endpoint ger kunderna möjlighet att skicka händelser och aviseringar i realtid från sina instanser när de inträffar i en enda dataström, vilket ger en leveransmekanism med låg svarstid och högt dataflöde.

Händelseinformationen för Defender för Endpoint skickas direkt till Azure Storage för långsiktig datakvarhållning, eller för att Azure Event Hubs för förbrukning av visualiseringstjänster eller ytterligare databehandlingsmotorer.

Mer information finns i API för direktuppspelning av rådata.

Det nya Microsoft Defender XDR Streaming-API:et innehåller e-post- och aviseringshändelser utöver enhetshändelser. Mer information finns i Microsoft Defender XDR Streaming API.

SIEM API

När du aktiverar SIEM-integrering (säkerhetsinformation och händelsehantering) kan du hämta identifieringar från Microsoft Defender XDR med hjälp av SIEM-lösningen eller genom att ansluta direkt till REST API:et för identifieringar. Detta aktiverar avsnittet siem-anslutningsinformation med förifyllda värden och ett program skapas under din Microsoft Entra klientorganisation.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.