從 MDE SIEM API 移轉至 Microsoft Defender 全面偵測回應 警示 API

適用於:

針對所有警示使用新的 Microsoft Defender 全面偵測回應 API

在 MS Graph 中發行為公開預覽的 Microsoft Defender 全面偵測回應 警示 API,是從 SIEM API 移轉的客戶官方和建議的 API。 此 API 可讓客戶使用單一整合來處理所有 Microsoft Defender 全面偵測回應 產品的警示。 我們預期新的 API 會在 Q1 CY 2023) 正式發行 (正式運作。

SIEM API 已於 2023 年 12 月 31 日淘汰。 其宣告為「已淘汰」,但未宣告為「已淘汰」。這表示在此日期之前,SIEM API 會繼續為現有客戶運作。 在淘汰日期之後,SIEM API 會繼續可用,但僅支援安全性相關修正。

自 2024 年 12 月 31 日起,在原始淘汰公告三年後,我們保留關閉 SIEM API 的許可權,而不另行通知。

如需新 API 的其他資訊,請參閱部落格公告:Microsoft Graph 中的新 Microsoft Defender 全面偵測回應 API 現在已在公開預覽版中提供!

API 檔: 使用 Microsoft Graph 安全性 API - Microsoft Graph

如果您是使用 SIEM API 的客戶,強烈建議您規劃和執行移轉。 本文包含可移轉至支援功能之選項的相關信息:

  1. 將 MDE 警示提取到外部系統 (SIEM/SOAR) 。

  2. 直接呼叫 Microsoft Defender 全面偵測回應 警示 API

瞭解新的 Microsoft Defender 全面偵測回應 警示和事件 API

將適用於端點的 Defender 警示提取到外部系統

如果您要將適用於端點的 Defender 警示提取到外部系統中,有數個支援的選項可讓組織彈性地使用其選擇的解決方案:

  1. Microsoft Sentinel 是可調整的雲端原生 SIEM 和安全性協調流程、自動化和回應 (SOAR) 解決方案。 在整個企業中提供智慧型手機安全性分析和威脅情報,為攻擊偵測、威脅可見性、主動式搜捕和威脅回應提供單一解決方案。 Microsoft Defender 全面偵測回應 連接器可讓客戶輕鬆地從所有 Microsoft Defender 全面偵測回應 產品提取其所有事件和警示。 若要深入瞭解整合,請參閱 Microsoft Defender 全面偵測回應 與 Microsoft Sentinel 整合

  2. IBM Security QRadar SIEM 提供集中式可見性和智慧型手機安全性分析,以識別並防止威脅和弱點中斷商務作業。 QRadar SIEM 小組剛剛宣布發行與新 Microsoft Defender 全面偵測回應 警示 API 整合的新 DSM,以提取 適用於端點的 Microsoft Defender 警示。 歡迎新客戶在發行時利用新的 DSM。 若要深入瞭解新的 DSM,以及如何輕鬆地移轉至新 DSM,請參閱 Microsoft Defender 全面偵測回應 - IBM 檔。

  3. Splunk SOAR 可協助客戶協調工作流程,並在幾秒內將工作自動化,以更聰明地工作並更快速地回應。 Splunk SOAR 與新的 Microsoft Defender 全面偵測回應 API 整合,包括警示 API。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 |Splunkbase

其他整合會列在 Microsoft Defender 全面偵測回應 的技術合作夥伴中,或連絡您的 SIEM /SOAR 提供者以了解他們提供的整合。

直接呼叫 Microsoft Defender 全面偵測回應 警示 API

下表提供 SIEM API 與 Microsoft Defender 全面偵測回應 警示 API 之間的對應:

SIEM API 屬性 對應 Microsoft Defender 全面偵測回應 警示 API 屬性
AlertTime -> createdDateTime
ComputerDnsName -> evidence/deviceEvidence: deviceDnsName
AlertTitle -> title
Category -> category
Severity -> severity
AlertId -> id
Actor -> actorDisplayName
LinkToWDATP -> alertWebUrl
IocName X 不支援IoC欄位
IocValue X 不支援IoC欄位
CreatorIocName X 不支援IoC欄位
CreatorIocValue X 不支援IoC欄位
Sha1 -> evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName -> evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath -> evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress -> evidence/ipEvidence: ipAddress
URL -> evidence/urlEvidence: url
IoaDefinitionId -> detectorId
UserName -> evidence/userEvidence/userAccount: accountName
AlertPart X 過時 (適用於端點的 Defender 警示是可更新的不可部分完成/完成,而 SIEM API 則是偵測的不可變記錄)
FullId X 不支援IoC欄位
LastProcessedTimeUtc -> lastActivityDateTime
ThreatCategory -> mitreTechniques []
ThreatFamilyName -> threatFamilyName
ThreatName -> threatDisplayName
RemediationAction -> evidence: remediationStatus
RemediationIsSuccess -> evidence: remediationStatus (implied)
Source -> detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5 X 不支援
Sha256 -> evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected -> evidence/processEvidence: detectionStatus
UserDomain -> evidence/userEvidence/userAccount: domainName
LogOnUsers -> evidence/deviceEvidence: loggedOnUsers []
MachineDomain -> 包含在 evidence/deviceEvidence: deviceDnsName
MachineName -> 包含在 evidence/deviceEvidence: deviceDnsName
InternalIPV4List X 不支援
InternalIPV6List X 不支援
FileHash -> 使用 sha1sha256
DeviceID -> evidence/deviceEvidence: mdeDeviceId
MachineGroup -> evidence/deviceEvidence: rbacGroupName
Description -> description
DeviceCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CommandLine -> evidence/processEvidence: processCommandLine
IncidentLinkToWDATP -> incidentWebUrl
ReportId X 過時 (適用於端點的 Defender 警示是可更新的不可部分完成/完成,而 SIEM API 則是偵測的不可變記錄)
LinkToMTP -> alertWebUrl
IncidentLinkToMTP -> incidentWebUrl
ExternalId X 過時
IocUniqueId X 不支援IoC欄位

使用 SIEM) 工具 (安全性資訊和事件管理來內嵌警示

注意

適用於端點的 Microsoft Defender 警示是由裝置上發生的一或多個可疑或惡意事件及其相關詳細數據所組成。 適用於端點的 Microsoft Defender 警示 API 是警示取用的最新 API,並包含每個警示的相關辨識項詳細清單。 如需詳細資訊,請 參閱警示方法和屬性列出警示

適用於端點的 Microsoft Defender 支援安全性資訊和事件管理 (SIEM) 工具使用 OAuth 2.0 驗證通訊協定擷取已註冊 Microsoft Entra ID 企業租使用者的資訊 Microsoft Entra應用程式,代表安裝在您環境中的特定 SIEM 解決方案或連接器。

如需詳細資訊,請參閱:

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。