MDE SIEM API'sinden Microsoft Defender XDR uyarıları API'sine geçiş

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 1
• Uç Nokta için Microsoft Defender Planı 2
• Microsoft Defender XDR

Tüm uyarılarınız için yeni Microsoft Defender XDR API'sini kullanın

MS Graph'ta genel önizlemeye sunulan Microsoft Defender XDR uyarıları API'si, SIEM API'sinden geçiş yapılan müşteriler için resmi ve önerilen API'dir. Bu API, müşterilerin tek bir tümleştirme kullanarak tüm Microsoft Defender XDR ürünlerde uyarılarla çalışmasını sağlar. Yeni API'nin Q1 CY 2023'e kadar genel kullanıma (GA) ulaşmasını bekliyoruz.

SIEM API'si 31 Aralık 2023'te kullanım dışı bırakılmıştır. "Kullanım dışı" olarak bildirilir, ancak "kullanımdan kaldırıldı" olarak bildirilmemiştir. Bu, bu tarihe kadar SIEM API'sinin mevcut müşteriler için çalışmaya devam etmesi anlamına gelir. Kullanımdan kaldırma tarihinden sonra SIEM API'si kullanılabilir olmaya devam eder, ancak yalnızca güvenlikle ilgili düzeltmeler için desteklenir.

İlk kullanımdan kaldırma duyurusunun ardından 31 Aralık 2024 tarihinden itibaren geçerli olmak üzere SIEM API'sini daha fazla bildirimde bulunmadan kapatma hakkını saklıyoruz.

Yeni API'ler hakkında daha fazla bilgi için blog duyurusunu inceleyin: Microsoft Graph'teki yeni Microsoft Defender XDR API'leri artık genel önizleme sürümünde!

API belgeleri: Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph

SIEM API'sini kullanan bir müşteriyseniz geçişi planlamanızı ve yürütmenizi kesinlikle öneririz. Bu makale, desteklenen bir özelliğe geçirilebilecek seçenekler hakkında bilgi içerir:

1. MDE uyarıları bir dış sisteme (SIEM/SOAR) çekme.

2. Microsoft Defender XDR uyarıları API'sini doğrudan çağırma.

Yeni Microsoft Defender XDR uyarıları ve olaylar API'sini okuyun

Uç Nokta için Defender uyarılarını dış sisteme çekme

Uç Nokta için Defender uyarılarını bir dış sisteme çekiyorsanız, kuruluşlara tercih ettikleri çözümle çalışma esnekliği sağlamak için desteklenen çeşitli seçenekler vardır:

1. Microsoft Sentinel ölçeklenebilir, bulutta yerel, SIEM ve Güvenlik düzenleme, otomasyon ve yanıt (SOAR) çözümüdür. Kuruluş genelinde akıllı güvenlik analizi ve tehdit bilgileri sunarak saldırı algılama, tehdit görünürlüğü, proaktif avcılık ve tehdit yanıtı için tek bir çözüm sağlar. Microsoft Defender XDR bağlayıcısı, müşterilerin tüm olaylarını ve uyarılarını tüm Microsoft Defender XDR ürünlerinden kolayca çekmesini sağlar. Tümleştirme hakkında daha fazla bilgi edinmek için bkz. Microsoft Sentinel ile tümleştirme Microsoft Defender XDR.

2. IBM Security QRadar SIEM, tehditlerin ve güvenlik açıklarının iş operasyonlarını kesintiye uğratmasını belirlemek ve önlemek için merkezi görünürlük ve akıllı güvenlik analizi sağlar. QRadar SIEM ekibi, Uç Nokta için Microsoft Defender uyarıları çekmek için yeni Microsoft Defender XDR uyarıları API'siyle tümleştirilmiş yeni bir DSM'nin yayınlandığını duyurdu. Yeni müşteriler yayınlandığında yeni DSM'nin avantajlarından yararlanabilir. Yeni DSM hakkında daha fazla bilgi edinmek ve bu DSM'ye kolayca geçiş yapmak için Microsoft Defender XDR - IBM Belgeleri'ni inceleyin.

3. Splunk SOAR , müşterilerin daha akıllı çalışmak ve daha hızlı yanıt vermek için iş akışlarını düzenlemesine ve görevleri saniyeler içinde otomatikleştirmesine yardımcı olur. Splunk SOAR, uyarılar API'si de dahil olmak üzere yeni Microsoft Defender XDR API'leriyle tümleşiktir. Daha fazla bilgi için bkz. Microsoft Defender XDR | Splunkbase

Diğer tümleştirmeler Microsoft Defender XDR Teknolojik iş ortaklarında listelenir veya sağladıkları tümleştirmeler hakkında bilgi edinmek için SIEM /SOAR sağlayıcınıza başvurun.

Microsoft Defender XDR uyarıları API'sini doğrudan çağırma

Aşağıdaki tabloda SIEM API'sini Microsoft Defender XDR uyarıları API'sine eşleme sağlanır:

SIEM API özelliği	Eşleme	uyarı API'si özelliğini Microsoft Defender XDR
AlertTime	->	createdDateTime
ComputerDnsName	->	evidence/deviceEvidence: deviceDnsName
AlertTitle	->	title
Category	->	category
Severity	->	severity
AlertId	->	id
Actor	->	actorDisplayName
LinkToWDATP	->	alertWebUrl
IocName	X	IoC alanları desteklenmiyor
IocValue	X	IoC alanları desteklenmiyor
CreatorIocName	X	IoC alanları desteklenmiyor
CreatorIocValue	X	IoC alanları desteklenmiyor
Sha1	->	evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName	->	evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath	->	evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress	->	evidence/ipEvidence: ipAddress
URL	->	evidence/urlEvidence: url
IoaDefinitionId	->	detectorId
UserName	->	evidence/userEvidence/userAccount: accountName
AlertPart	X	Kullanımdan kaldırıldı (SIEM API'si sabit algılama kayıtlarıyken Uç Nokta için Defender uyarıları, güncelleştirilebilir olan atomik/eksiksiz uyarılardır)
FullId	X	IoC alanları desteklenmiyor
LastProcessedTimeUtc	->	lastActivityDateTime
ThreatCategory	->	mitreTechniques []
ThreatFamilyName	->	threatFamilyName
ThreatName	->	threatDisplayName
RemediationAction	->	evidence: remediationStatus
RemediationIsSuccess	->	evidence: remediationStatus (implied)
Source	->	detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5	X	Desteklenmiyor
Sha256	->	evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected	->	evidence/processEvidence: detectionStatus
UserDomain	->	evidence/userEvidence/userAccount: domainName
LogOnUsers	->	evidence/deviceEvidence: loggedOnUsers []
MachineDomain	->	Dahil edilenler evidence/deviceEvidence: deviceDnsName
MachineName	->	Dahil edilenler evidence/deviceEvidence: deviceDnsName
InternalIPV4List	X	Desteklenmiyor
InternalIPV6List	X	Desteklenmiyor
FileHash	->	veya sha1sha256
DeviceID	->	evidence/deviceEvidence: mdeDeviceId
MachineGroup	->	evidence/deviceEvidence: rbacGroupName
Description	->	description
DeviceCreatedMachineTags	->	evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags	->	evidence: tags [] (for deviceEvidence)
CommandLine	->	evidence/processEvidence: processCommandLine
IncidentLinkToWDATP	->	incidentWebUrl
ReportId	X	Kullanımdan kaldırıldı (SIEM API'si sabit algılama kayıtlarıyken Uç Nokta için Defender uyarıları, güncelleştirilebilir olan atomik/eksiksiz uyarılardır)
LinkToMTP	->	alertWebUrl
IncidentLinkToMTP	->	incidentWebUrl
ExternalId	X	Eski
IocUniqueId	X	IoC alanları desteklenmiyor

Güvenlik bilgileri ve olay yönetimi (SIEM) araçlarını kullanarak uyarıları alma

Not

Uç Nokta için Microsoft Defender Uyarısı, cihazda gerçekleşen bir veya daha fazla şüpheli veya kötü amaçlı olaydan ve bunların ilgili ayrıntılarından oluşur. Uç Nokta için Microsoft Defender Uyarı API'si, uyarı tüketimi için en son API'dir ve her uyarı için ilgili kanıtların ayrıntılı bir listesini içerir. Daha fazla bilgi için bkz . Uyarı yöntemleri ve özellikleri veListe uyarıları.

Uç Nokta için Microsoft Defender, kayıtlı bir Microsoft Entra için OAuth 2.0 kimlik doğrulama protokolunu kullanarak Microsoft Entra ID'da kurumsal kiracınızdan bilgi alan güvenlik bilgilerini ve olay yönetimi (SIEM) araçlarını destekler Microsoft Entra ortamınızda yüklü olan belirli SIEM çözümünü veya bağlayıcısını temsil eden uygulama.

Daha fazla bilgi için bkz.:

• api lisansını ve kullanım koşullarını Uç Nokta için Microsoft Defender
• Uç Nokta için Microsoft Defender API’lere erişin
• Merhaba Dünya örnek (bir uygulamanın Microsoft Entra ID'ye nasıl kaydedildiği açıklanır)
• Uygulama bağlamıyla erişim alın
• SIEM tümleştirmesini Microsoft Defender XDR

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.