從 MDE SIEM API 移轉至 Microsoft Defender 全面偵測回應 警示 API
本文內容
針對所有警示使用新的 Microsoft Defender 全面偵測回應 API
使用 SIEM) 工具 (安全性資訊和事件管理來內嵌警示
適用於:
針對所有警示使用新的 Microsoft Defender 全面偵測回應 API
在 MS Graph 中發行為公開預覽的 Microsoft Defender 全面偵測回應 警示 API,是從 SIEM API 移轉的客戶官方和建議的 API。 此 API 可讓客戶使用單一整合來處理所有 Microsoft Defender 全面偵測回應 產品的警示。 我們預期新的 API 會在 Q1 CY 2023) 正式發行 (正式運作。
SIEM API 已於 2023 年 12 月 31 日淘汰。 其宣告為「已淘汰」,但未宣告為「已淘汰」。這表示在此日期之前,SIEM API 會繼續為現有客戶運作。 在淘汰日期之後,SIEM API 會繼續可用,但僅支援安全性相關修正。
自 2024 年 12 月 31 日起,在原始淘汰公告三年後,我們保留關閉 SIEM API 的許可權,而不另行通知。
如需新 API 的其他資訊,請參閱部落格公告:Microsoft Graph 中的新 Microsoft Defender 全面偵測回應 API 現在已在公開預覽版中提供!
API 檔: 使用 Microsoft Graph 安全性 API - Microsoft Graph
如果您是使用 SIEM API 的客戶,強烈建議您規劃和執行移轉。 本文包含可移轉至支援功能之選項的相關信息:
將 MDE 警示提取到外部系統 (SIEM/SOAR) 。
直接呼叫 Microsoft Defender 全面偵測回應 警示 API 。
瞭解新的 Microsoft Defender 全面偵測回應 警示和事件 API
將適用於端點的 Defender 警示提取到外部系統
如果您要將適用於端點的 Defender 警示提取到外部系統中,有數個支援的選項可讓組織彈性地使用其選擇的解決方案:
Microsoft Sentinel 是可調整的雲端原生 SIEM 和安全性協調流程、自動化和回應 (SOAR) 解決方案。 在整個企業中提供智慧型手機安全性分析和威脅情報,為攻擊偵測、威脅可見性、主動式搜捕和威脅回應提供單一解決方案。 Microsoft Defender 全面偵測回應 連接器可讓客戶輕鬆地從所有 Microsoft Defender 全面偵測回應 產品提取其所有事件和警示。 若要深入瞭解整合,請參閱 Microsoft Defender 全面偵測回應 與 Microsoft Sentinel 整合 。
IBM Security QRadar SIEM 提供集中式可見性和智慧型手機安全性分析,以識別並防止威脅和弱點中斷商務作業。
QRadar SIEM 小組剛剛宣布發行與新 Microsoft Defender 全面偵測回應 警示 API 整合的新 DSM,以提取 適用於端點的 Microsoft Defender 警示。 歡迎新客戶在發行時利用新的 DSM。 若要深入瞭解新的 DSM,以及如何輕鬆地移轉至新 DSM,請參閱 Microsoft Defender 全面偵測回應 - IBM 檔。
Splunk SOAR 可協助客戶協調工作流程,並在幾秒內將工作自動化,以更聰明地工作並更快速地回應。 Splunk SOAR 與新的 Microsoft Defender 全面偵測回應 API 整合,包括警示 API。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 |Splunkbase
其他整合會列在 Microsoft Defender 全面偵測回應 的技術合作夥伴 中,或連絡您的 SIEM /SOAR 提供者以了解他們提供的整合。
直接呼叫 Microsoft Defender 全面偵測回應 警示 API
下表提供 SIEM API 與 Microsoft Defender 全面偵測回應 警示 API 之間的對應:
展開資料表
SIEM API 屬性
對應
Microsoft Defender 全面偵測回應 警示 API 屬性
AlertTime
->
createdDateTime
ComputerDnsName
->
evidence/deviceEvidence: deviceDnsName
AlertTitle
->
title
Category
->
category
Severity
->
severity
AlertId
->
id
Actor
->
actorDisplayName
LinkToWDATP
->
alertWebUrl
IocName
X
不支援IoC欄位
IocValue
X
不支援IoC欄位
CreatorIocName
X
不支援IoC欄位
CreatorIocValue
X
不支援IoC欄位
Sha1
->
evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName
->
evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath
->
evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress
->
evidence/ipEvidence: ipAddress
URL
->
evidence/urlEvidence: url
IoaDefinitionId
->
detectorId
UserName
->
evidence/userEvidence/userAccount: accountName
AlertPart
X
過時 (適用於端點的 Defender 警示是可更新的不可部分完成/完成,而 SIEM API 則是偵測的不可變記錄)
FullId
X
不支援IoC欄位
LastProcessedTimeUtc
->
lastActivityDateTime
ThreatCategory
->
mitreTechniques []
ThreatFamilyName
->
threatFamilyName
ThreatName
->
threatDisplayName
RemediationAction
->
evidence: remediationStatus
RemediationIsSuccess
->
evidence: remediationStatus (implied)
Source
->
detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5
X
不支援
Sha256
->
evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected
->
evidence/processEvidence: detectionStatus
UserDomain
->
evidence/userEvidence/userAccount: domainName
LogOnUsers
->
evidence/deviceEvidence: loggedOnUsers []
MachineDomain
->
包含在 evidence/deviceEvidence: deviceDnsName
MachineName
->
包含在 evidence/deviceEvidence: deviceDnsName
InternalIPV4List
X
不支援
InternalIPV6List
X
不支援
FileHash
->
使用 sha1
或 sha256
DeviceID
->
evidence/deviceEvidence: mdeDeviceId
MachineGroup
->
evidence/deviceEvidence: rbacGroupName
Description
->
description
DeviceCreatedMachineTags
->
evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags
->
evidence: tags [] (for deviceEvidence)
CommandLine
->
evidence/processEvidence: processCommandLine
IncidentLinkToWDATP
->
incidentWebUrl
ReportId
X
過時 (適用於端點的 Defender 警示是可更新的不可部分完成/完成,而 SIEM API 則是偵測的不可變記錄)
LinkToMTP
->
alertWebUrl
IncidentLinkToMTP
->
incidentWebUrl
ExternalId
X
過時
IocUniqueId
X
不支援IoC欄位
適用於端點的 Microsoft Defender 支援安全性資訊和事件管理 (SIEM) 工具使用 OAuth 2.0 驗證通訊協定擷取已註冊 Microsoft Entra ID 企業租使用者的資訊 Microsoft Entra應用程式,代表安裝在您環境中的特定 SIEM 解決方案或連接器。
如需詳細資訊,請參閱: