管理和 API 概觀

  • 發行項

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

適用於端點的 Defender 支援各種選項,以確保客戶可以輕鬆地採用平臺。

確認客戶環境和結構可能有所不同,因此已建立適用於端點的 Defender,並具有彈性和細微的控制,以符合不同的客戶需求。

端點上線和入口網站存取

裝置上線已完全整合到用戶端裝置的 Microsoft Configuration Manager和 Microsoft Intune,以及伺服器裝置的 Microsoft Defender,提供完整的端對端設定、部署和監視體驗。 此外,適用於端點的 Microsoft Defender 支援 群組原則 和其他用於裝置管理的第三方工具。

適用於端點的Defender可透過角色型訪問控制 (RBAC) 的彈性,為具有入口網站存取權的使用者提供更細緻的控制。 RBAC 模型支援各種安全性小組結構:

  • 全域散發的組織和安全性小組
  • 階層式模型安全性作業小組
  • 具有單一集中式全域安全性作業小組的完全隔離部門

可用的 API

適用於端點的 Microsoft Defender解決方案是以整合就緒平臺為基礎所建置。

適用於端點的 Defender 會透過一組程式設計 API 公開其大部分的數據和動作。 這些 API 可讓您根據適用於端點的 Defender 功能,將工作流程自動化並進行創新。

適用於端點的 Microsoft Defender 中可用的 API 和整合

適用於端點的 Defender API 可以分組為三個:

  • 適用於端點的 Microsoft Defender API
  • 原始資料串流 API
  • SIEM 整合

適用於端點的 Microsoft Defender API

適用於端點的 Defender 提供分層式 API 模型,以結構化、清楚且容易使用的模型公開數據和功能,並透過標準 Azure AD 型驗證和授權模型公開,以允許在使用者或 SaaS 應用程式的內容中存取。 API 模型的設計目的是要以一致的形式公開實體和功能。

觀看這段影片以取得適用於端點的Defender API的快速概觀。

調查 API 會公開適用於端點的 Defender 的豐富性 - 公開匯出或「已分析」的實體 (例如裝置、使用者和檔案) 和離散事件 (例如,程式建立和檔案建立) 通常描述與實體相關的行為,讓您可以透過調查介面存取數據,以允許以查詢為基礎的數據存取。 如需詳細資訊,請參閱 支援的 API

回應 API 會公開在服務和裝置上採取動作的能力,讓客戶能夠擷取指標、管理設定、警示狀態,以及以程式設計方式在裝置上採取回應動作,例如隔離裝置與網路、隔離檔案等等。

原始資料串流 API

適用於端點的 Defender 原始數據流 API 可讓客戶在發生於單一數據流內時,從其實例傳送即時事件和警示,以提供低延遲、高輸送量傳遞機制。

適用於端點的 Defender 事件資訊會直接推送至 Azure 記憶體以供長期數據保留,或 Azure 事件中樞 以供視覺效果服務或其他數據處理引擎取用。

如需詳細資訊,請參閱 原始數據串流 API

新的 Microsoft Defender 全面偵測回應 串流 API 除了裝置事件之外,還包含電子郵件和警示事件。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 串流 API。

SIEM API

當您在 SIEM) 整合 (啟用安全性資訊和事件管理時,可讓您使用 SIEM 解決方案或直接連線到偵測 REST API,從 Microsoft Defender 全面偵測回應 提取偵測。 這會啟動具有預先填入值的 SIEM 連接器存取詳細數據區段,並在您的 Microsoft Entra 租使用者下建立應用程式。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。