从 MDE SIEM API 迁移到Microsoft Defender XDR警报 API
适用于:
对所有警报使用新的 Microsoft Defender XDR API
Microsoft Defender XDR警报 API 在 MS Graph 中发布到公共预览版,是针对从 SIEM API 迁移的客户的官方和推荐 API。 此 API 使客户能够使用单个集成处理所有Microsoft Defender XDR产品的警报。 我们预计新 API (2023 年第 1 季度正式发布) 。
SIEM API 已于 2023 年 12 月 31 日弃用。 它已声明为“已弃用”,但未“已停用”。这意味着,在此日期之前,SIEM API 将继续为现有客户运行。 弃用日期后,SIEM API 将继续可用,但仅支持与安全相关的修补程序。
自 2024 年 12 月 31 日起,在原始弃用公告三年后,我们保留关闭 SIEM API 的权利,不作进一步通知。
有关新 API 的其他信息,请参阅博客公告:Microsoft Graph 中的新Microsoft Defender XDR API 现已以公共预览版提供!
API 文档: 使用 Microsoft Graph 安全 API - Microsoft Graph
如果你是使用 SIEM API 的客户,我们强烈建议规划和执行迁移。 本文包含有关可用于迁移到受支持的功能的选项的信息:
(SIEM/SOAR) 将MDE警报拉取到外部系统。
了解新的Microsoft Defender XDR警报和事件 API
将 Defender for Endpoint 警报拉入外部系统
如果要将 Defender for Endpoint 警报拉入外部系统,可以使用多个受支持的选项,使组织能够灵活地使用其选择的解决方案:
Microsoft Sentinel 是一种可缩放的云原生 SIEM 和安全业务流程、自动化和响应 (SOAR) 解决方案。 在整个企业中提供智能安全分析和威胁情报,为攻击检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。 Microsoft Defender XDR连接器使客户能够轻松地从所有Microsoft Defender XDR产品中提取其所有事件和警报。 若要了解有关集成的详细信息,请参阅Microsoft Defender XDR与 Microsoft Sentinel 的集成。
IBM Security QRadar SIEM 提供集中式可见性和智能安全分析,以识别和防止威胁和漏洞中断业务运营。 QRadar SIEM 团队刚刚宣布发布新的 DSM,该 DSM 与新的Microsoft Defender XDR警报 API 集成,以拉取Microsoft Defender for Endpoint警报。 欢迎新客户在发布后利用新的 DSM。 若要详细了解新的 DSM 以及如何轻松迁移到它,请参阅 Microsoft Defender XDR - IBM 文档。
Splunk SOAR 可帮助客户在数秒内协调工作流并自动执行任务,从而更智能地工作并更快地做出响应。 Splunk SOAR 与新的 Microsoft Defender XDR API(包括警报 API)集成。 有关详细信息,请参阅 Microsoft Defender XDR |Splunkbase
其他集成在 Microsoft Defender XDR 的技术合作伙伴中列出,或联系 SIEM/SOAR 提供商了解它们提供的集成。
直接调用Microsoft Defender XDR警报 API
下表提供了 SIEM API 与Microsoft Defender XDR警报 API 之间的映射:
| SIEM API 属性 | 映射 | Microsoft Defender XDR警报 API 属性 |
|---|---|---|
AlertTime |
-> | createdDateTime |
ComputerDnsName |
-> | evidence/deviceEvidence: deviceDnsName |
AlertTitle |
-> | title |
Category |
-> | category |
Severity |
-> | severity |
AlertId |
-> | id |
Actor |
-> | actorDisplayName |
LinkToWDATP |
-> | alertWebUrl |
IocName |
X | 不支持 IoC 字段 |
IocValue |
X | 不支持 IoC 字段 |
CreatorIocName |
X | 不支持 IoC 字段 |
CreatorIocValue |
X | 不支持 IoC 字段 |
Sha1 |
-> | evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1) |
FileName |
-> | evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName) |
FilePath |
-> | evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath) |
IPAddress |
-> | evidence/ipEvidence: ipAddress |
URL |
-> | evidence/urlEvidence: url |
IoaDefinitionId |
-> | detectorId |
UserName |
-> | evidence/userEvidence/userAccount: accountName |
AlertPart |
X | 过时 (Defender for Endpoint 警报是可更新的原子/完整警报,而 SIEM API 是检测的不可变记录) |
FullId |
X | 不支持 IoC 字段 |
LastProcessedTimeUtc |
-> | lastActivityDateTime |
ThreatCategory |
-> | mitreTechniques [] |
ThreatFamilyName |
-> | threatFamilyName |
ThreatName |
-> | threatDisplayName |
RemediationAction |
-> | evidence: remediationStatus |
RemediationIsSuccess |
-> | evidence: remediationStatus (implied) |
Source |
-> | detectionSource (use with serviceSource: microsoftDefenderForEndpoint) |
Md5 |
X | 不支持 |
Sha256 |
-> | evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256) |
WasExecutingWhileDetected |
-> | evidence/processEvidence: detectionStatus |
UserDomain |
-> | evidence/userEvidence/userAccount: domainName |
LogOnUsers |
-> | evidence/deviceEvidence: loggedOnUsers [] |
MachineDomain |
-> | 包含在 evidence/deviceEvidence: deviceDnsName |
MachineName |
-> | 包含在 evidence/deviceEvidence: deviceDnsName |
InternalIPV4List |
X | 不支持 |
InternalIPV6List |
X | 不支持 |
FileHash |
-> | 使用 sha1 或 sha256 |
DeviceID |
-> | evidence/deviceEvidence: mdeDeviceId |
MachineGroup |
-> | evidence/deviceEvidence: rbacGroupName |
Description |
-> | description |
DeviceCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CloudCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CommandLine |
-> | evidence/processEvidence: processCommandLine |
IncidentLinkToWDATP |
-> | incidentWebUrl |
ReportId |
X | 过时 (Defender for Endpoint 警报是可更新的原子/完整警报,而 SIEM API 是检测的不可变记录) |
LinkToMTP |
-> | alertWebUrl |
IncidentLinkToMTP |
-> | incidentWebUrl |
ExternalId |
X | Obsolete |
IocUniqueId |
X | 不支持 IoC 字段 |
使用安全信息和事件管理 (SIEM) 工具引入警报
注意
Microsoft Defender for Endpoint警报由设备上发生的一个或多个可疑或恶意事件及其相关详细信息组成。 Microsoft Defender for Endpoint警报 API 是警报使用的最新 API,包含每个警报的相关证据的详细列表。 有关详细信息,请参阅 警报方法和属性 和 列表警报。
Microsoft Defender for Endpoint支持安全信息和事件管理 (SIEM) 工具使用注册的 OAuth 2.0 身份验证协议从 Microsoft Entra ID 中的企业租户中引入信息Microsoft Entra应用程序,表示环境中安装的特定 SIEM 解决方案或连接器。
有关更多信息,请参阅:
- Microsoft Defender for Endpoint API 许可证和使用条款
- 访问 Microsoft Defender for Endpoint API
- Hello World示例 (介绍如何在 Microsoft Entra ID) 中注册应用程序
- 通过应用上下文获得访问权限
- Microsoft Defender XDR SIEM 集成
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。