使用 圖形 API 存取事件通知

適用於：

• Microsoft Defender XDR

Defender 專家通知 是您的環境中由Defender專家進行的搜捕所產生的事件。 其中包含有關搜捕調查的資訊，以及 Defender 專家所提供的建議動作。 您現在可以使用 Microsoft Graph 安全性 API 來存取 DEN。

注意事項

Microsoft Defender 入口網站中的任何事件都是相互關聯警示的集合。 深入了解

下列 Defender 專家通知詳細數據可在 Microsoft Defender 入口網站中取得：

• 事件標題 - 從 Defender 專家 開始，以區別 Defender 專家通知與其他事件
• 執行摘要 - 提供調查摘要的概觀
• 建議摘要 - 列出 Defender 專家的建議動作
• 進階搜捕查詢 - 列出用於調查的已轉換 KQL 搜捕查詢

在 Microsoft Graph 安全性 API 中，也提供下列欄位：

• 圖形端點 - https://graph.microsoft.com/beta/security/incidents
• 對應至稍早所述詳細數據的下列 功能變數名稱 ：
  • displayName
  • 描述
  • recommendedActions
  • recommendedHuntingQueries

注意事項

這些欄位很快就會在 Graph v1.0 端點中提供。 如需詳細資訊，請參閱 Microsoft Graph REST API v1.0

您從 API 取用 Defender 專家通知的方法會根據您想要使用的下游系統和您的特定需求而有所不同。 不過，下列步驟是協助您開始使用的基本實作：

從 圖形 API 中的事件開始

1. 從 Graph 安全性 API 取得事件。
2. 檢查 displayName 以 Defender 專家開頭的新事件。
3. 繼續讀取這類事件的其餘欄位。
4. 將 Defender 專家通知 (DEN) 資訊同步處理至下游工具 (例如 ServiceNow) 。

從 圖形 API 中的警示開始

1. 從 Graph 安全性 API 取得警示。
2. 檢查 detectionSource 以 microsoftThreatExperts 開頭的新警示。
3. 藉由檢查警示上列出的 incidentId 來查閱對應的事件。
4. 繼續讀取這類事件的其餘欄位。
5. 將 Defender 專家通知 (DEN) 資訊同步處理至下游工具 (例如 ServiceNow) 。

下一步

• 與隨選專家共同作業

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：Microsoft Defender 全面偵測回應 技術社群。