从 MDE SIEM API 迁移到Microsoft Defender XDR警报 API

适用于:

对所有警报使用新的 Microsoft Defender XDR API

Microsoft Defender XDR警报 API 在 MS Graph 中发布到公共预览版,是针对从 SIEM API 迁移的客户的官方和推荐 API。 此 API 使客户能够使用单个集成处理所有Microsoft Defender XDR产品的警报。 我们预计新 API (2023 年第 1 季度正式发布) 。

SIEM API 已于 2023 年 12 月 31 日弃用。 它已声明为“已弃用”,但未“已停用”。这意味着,在此日期之前,SIEM API 将继续为现有客户运行。 弃用日期后,SIEM API 将继续可用,但仅支持与安全相关的修补程序。

自 2024 年 12 月 31 日起,在原始弃用公告三年后,我们保留关闭 SIEM API 的权利,不作进一步通知。

有关新 API 的其他信息,请参阅博客公告:Microsoft Graph 中的新Microsoft Defender XDR API 现已以公共预览版提供!

API 文档: 使用 Microsoft Graph 安全 API - Microsoft Graph

如果你是使用 SIEM API 的客户,我们强烈建议规划和执行迁移。 本文包含有关可用于迁移到受支持的功能的选项的信息:

  1. (SIEM/SOAR) 将MDE警报拉取到外部系统

  2. 直接调用 Microsoft Defender XDR警报 API

了解新的Microsoft Defender XDR警报和事件 API

将 Defender for Endpoint 警报拉入外部系统

如果要将 Defender for Endpoint 警报拉入外部系统,可以使用多个受支持的选项,使组织能够灵活地使用其选择的解决方案:

  1. Microsoft Sentinel 是一种可缩放的云原生 SIEM 和安全业务流程、自动化和响应 (SOAR) 解决方案。 在整个企业中提供智能安全分析和威胁情报,为攻击检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。 Microsoft Defender XDR连接器使客户能够轻松地从所有Microsoft Defender XDR产品中提取其所有事件和警报。 若要了解有关集成的详细信息,请参阅Microsoft Defender XDR与 Microsoft Sentinel 的集成

  2. IBM Security QRadar SIEM 提供集中式可见性和智能安全分析,以识别和防止威胁和漏洞中断业务运营。 QRadar SIEM 团队刚刚宣布发布新的 DSM,该 DSM 与新的Microsoft Defender XDR警报 API 集成,以拉取Microsoft Defender for Endpoint警报。 欢迎新客户在发布后利用新的 DSM。 若要详细了解新的 DSM 以及如何轻松迁移到它,请参阅 Microsoft Defender XDR - IBM 文档

  3. Splunk SOAR 可帮助客户在数秒内协调工作流并自动执行任务,从而更智能地工作并更快地做出响应。 Splunk SOAR 与新的 Microsoft Defender XDR API(包括警报 API)集成。 有关详细信息,请参阅 Microsoft Defender XDR |Splunkbase

其他集成在 Microsoft Defender XDR 的技术合作伙伴中列出,或联系 SIEM/SOAR 提供商了解它们提供的集成。

直接调用Microsoft Defender XDR警报 API

下表提供了 SIEM API 与Microsoft Defender XDR警报 API 之间的映射:

SIEM API 属性 映射 Microsoft Defender XDR警报 API 属性
AlertTime -> createdDateTime
ComputerDnsName -> evidence/deviceEvidence: deviceDnsName
AlertTitle -> title
Category -> category
Severity -> severity
AlertId -> id
Actor -> actorDisplayName
LinkToWDATP -> alertWebUrl
IocName X 不支持 IoC 字段
IocValue X 不支持 IoC 字段
CreatorIocName X 不支持 IoC 字段
CreatorIocValue X 不支持 IoC 字段
Sha1 -> evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName -> evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath -> evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress -> evidence/ipEvidence: ipAddress
URL -> evidence/urlEvidence: url
IoaDefinitionId -> detectorId
UserName -> evidence/userEvidence/userAccount: accountName
AlertPart X 过时 (Defender for Endpoint 警报是可更新的原子/完整警报,而 SIEM API 是检测的不可变记录)
FullId X 不支持 IoC 字段
LastProcessedTimeUtc -> lastActivityDateTime
ThreatCategory -> mitreTechniques []
ThreatFamilyName -> threatFamilyName
ThreatName -> threatDisplayName
RemediationAction -> evidence: remediationStatus
RemediationIsSuccess -> evidence: remediationStatus (implied)
Source -> detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5 X 不支持
Sha256 -> evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected -> evidence/processEvidence: detectionStatus
UserDomain -> evidence/userEvidence/userAccount: domainName
LogOnUsers -> evidence/deviceEvidence: loggedOnUsers []
MachineDomain -> 包含在 evidence/deviceEvidence: deviceDnsName
MachineName -> 包含在 evidence/deviceEvidence: deviceDnsName
InternalIPV4List X 不支持
InternalIPV6List X 不支持
FileHash -> 使用 sha1sha256
DeviceID -> evidence/deviceEvidence: mdeDeviceId
MachineGroup -> evidence/deviceEvidence: rbacGroupName
Description -> description
DeviceCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CommandLine -> evidence/processEvidence: processCommandLine
IncidentLinkToWDATP -> incidentWebUrl
ReportId X 过时 (Defender for Endpoint 警报是可更新的原子/完整警报,而 SIEM API 是检测的不可变记录)
LinkToMTP -> alertWebUrl
IncidentLinkToMTP -> incidentWebUrl
ExternalId X Obsolete
IocUniqueId X 不支持 IoC 字段

使用安全信息和事件管理 (SIEM) 工具引入警报

注意

Microsoft Defender for Endpoint警报由设备上发生的一个或多个可疑或恶意事件及其相关详细信息组成。 Microsoft Defender for Endpoint警报 API 是警报使用的最新 API,包含每个警报的相关证据的详细列表。 有关详细信息,请参阅 警报方法和属性列表警报

Microsoft Defender for Endpoint支持安全信息和事件管理 (SIEM) 工具使用注册的 OAuth 2.0 身份验证协议从 Microsoft Entra ID 中的企业租户中引入信息Microsoft Entra应用程序,表示环境中安装的特定 SIEM 解决方案或连接器。

有关更多信息,请参阅:

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区