從 MDE SIEM API 移轉至 Microsoft Defender 全面偵測回應 警示 API
適用於:
針對所有警示使用新的 Microsoft Defender 全面偵測回應 API
在 MS Graph 中發行為公開預覽的 Microsoft Defender 全面偵測回應 警示 API,是從 SIEM API 移轉的客戶官方和建議的 API。 此 API 可讓客戶使用單一整合來處理所有 Microsoft Defender 全面偵測回應 產品的警示。 我們預期新的 API 會在 Q1 CY 2023) 正式發行 (正式運作。
SIEM API 已於 2023 年 12 月 31 日淘汰。 其宣告為「已淘汰」,但未宣告為「已淘汰」。這表示在此日期之前,SIEM API 會繼續為現有客戶運作。 在淘汰日期之後,SIEM API 會繼續可用,但僅支援安全性相關修正。
自 2024 年 12 月 31 日起,在原始淘汰公告三年後,我們保留關閉 SIEM API 的許可權,而不另行通知。
如需新 API 的其他資訊,請參閱部落格公告:Microsoft Graph 中的新 Microsoft Defender 全面偵測回應 API 現在已在公開預覽版中提供!
API 檔: 使用 Microsoft Graph 安全性 API - Microsoft Graph
如果您是使用 SIEM API 的客戶,強烈建議您規劃和執行移轉。 本文包含可移轉至支援功能之選項的相關信息:
將 MDE 警示提取到外部系統 (SIEM/SOAR) 。
瞭解新的 Microsoft Defender 全面偵測回應 警示和事件 API
將適用於端點的 Defender 警示提取到外部系統
如果您要將適用於端點的 Defender 警示提取到外部系統中,有數個支援的選項可讓組織彈性地使用其選擇的解決方案:
Microsoft Sentinel 是可調整的雲端原生 SIEM 和安全性協調流程、自動化和回應 (SOAR) 解決方案。 在整個企業中提供智慧型手機安全性分析和威脅情報,為攻擊偵測、威脅可見性、主動式搜捕和威脅回應提供單一解決方案。 Microsoft Defender 全面偵測回應 連接器可讓客戶輕鬆地從所有 Microsoft Defender 全面偵測回應 產品提取其所有事件和警示。 若要深入瞭解整合,請參閱 Microsoft Defender 全面偵測回應 與 Microsoft Sentinel 整合。
IBM Security QRadar SIEM 提供集中式可見性和智慧型手機安全性分析,以識別並防止威脅和弱點中斷商務作業。 QRadar SIEM 小組剛剛宣布發行與新 Microsoft Defender 全面偵測回應 警示 API 整合的新 DSM,以提取 適用於端點的 Microsoft Defender 警示。 歡迎新客戶在發行時利用新的 DSM。 若要深入瞭解新的 DSM,以及如何輕鬆地移轉至新 DSM,請參閱 Microsoft Defender 全面偵測回應 - IBM 檔。
Splunk SOAR 可協助客戶協調工作流程,並在幾秒內將工作自動化,以更聰明地工作並更快速地回應。 Splunk SOAR 與新的 Microsoft Defender 全面偵測回應 API 整合,包括警示 API。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 |Splunkbase
其他整合會列在 Microsoft Defender 全面偵測回應 的技術合作夥伴中,或連絡您的 SIEM /SOAR 提供者以了解他們提供的整合。
直接呼叫 Microsoft Defender 全面偵測回應 警示 API
下表提供 SIEM API 與 Microsoft Defender 全面偵測回應 警示 API 之間的對應:
| SIEM API 屬性 | 對應 | Microsoft Defender 全面偵測回應 警示 API 屬性 |
|---|---|---|
AlertTime |
-> | createdDateTime |
ComputerDnsName |
-> | evidence/deviceEvidence: deviceDnsName |
AlertTitle |
-> | title |
Category |
-> | category |
Severity |
-> | severity |
AlertId |
-> | id |
Actor |
-> | actorDisplayName |
LinkToWDATP |
-> | alertWebUrl |
IocName |
X | 不支援IoC欄位 |
IocValue |
X | 不支援IoC欄位 |
CreatorIocName |
X | 不支援IoC欄位 |
CreatorIocValue |
X | 不支援IoC欄位 |
Sha1 |
-> | evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1) |
FileName |
-> | evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName) |
FilePath |
-> | evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath) |
IPAddress |
-> | evidence/ipEvidence: ipAddress |
URL |
-> | evidence/urlEvidence: url |
IoaDefinitionId |
-> | detectorId |
UserName |
-> | evidence/userEvidence/userAccount: accountName |
AlertPart |
X | 過時 (適用於端點的 Defender 警示是可更新的不可部分完成/完成,而 SIEM API 則是偵測的不可變記錄) |
FullId |
X | 不支援IoC欄位 |
LastProcessedTimeUtc |
-> | lastActivityDateTime |
ThreatCategory |
-> | mitreTechniques [] |
ThreatFamilyName |
-> | threatFamilyName |
ThreatName |
-> | threatDisplayName |
RemediationAction |
-> | evidence: remediationStatus |
RemediationIsSuccess |
-> | evidence: remediationStatus (implied) |
Source |
-> | detectionSource (use with serviceSource: microsoftDefenderForEndpoint) |
Md5 |
X | 不支援 |
Sha256 |
-> | evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256) |
WasExecutingWhileDetected |
-> | evidence/processEvidence: detectionStatus |
UserDomain |
-> | evidence/userEvidence/userAccount: domainName |
LogOnUsers |
-> | evidence/deviceEvidence: loggedOnUsers [] |
MachineDomain |
-> | 包含在 evidence/deviceEvidence: deviceDnsName |
MachineName |
-> | 包含在 evidence/deviceEvidence: deviceDnsName |
InternalIPV4List |
X | 不支援 |
InternalIPV6List |
X | 不支援 |
FileHash |
-> | 使用 sha1 或 sha256 |
DeviceID |
-> | evidence/deviceEvidence: mdeDeviceId |
MachineGroup |
-> | evidence/deviceEvidence: rbacGroupName |
Description |
-> | description |
DeviceCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CloudCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CommandLine |
-> | evidence/processEvidence: processCommandLine |
IncidentLinkToWDATP |
-> | incidentWebUrl |
ReportId |
X | 過時 (適用於端點的 Defender 警示是可更新的不可部分完成/完成,而 SIEM API 則是偵測的不可變記錄) |
LinkToMTP |
-> | alertWebUrl |
IncidentLinkToMTP |
-> | incidentWebUrl |
ExternalId |
X | 過時 |
IocUniqueId |
X | 不支援IoC欄位 |
使用 SIEM) 工具 (安全性資訊和事件管理來內嵌警示
注意事項
適用於端點的 Microsoft Defender 警示是由裝置上發生的一或多個可疑或惡意事件及其相關詳細數據所組成。 適用於端點的 Microsoft Defender 警示 API 是警示取用的最新 API,並包含每個警示的相關辨識項詳細清單。 如需詳細資訊,請 參閱警示方法和屬性 和 列出警示。
適用於端點的 Microsoft Defender 支援安全性資訊和事件管理 (SIEM) 工具使用 OAuth 2.0 驗證通訊協定擷取已註冊 Microsoft Entra ID 企業租使用者的資訊 Microsoft Entra應用程式,代表安裝在您環境中的特定 SIEM 解決方案或連接器。
如需詳細資訊,請參閱:
- 適用於端點的 Microsoft Defender API 授權和使用規定
- 存取適用於端點的 Microsoft Defender API
- Hello World 範例 (說明如何在 Microsoft Entra ID) 中註冊應用程式
- 使用應用程式內容取得存取權
- Microsoft Defender 全面偵測回應 SIEM 整合
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。