Přehled správy a rozhraní API

Platí pro:

Chcete si prožít Defender pro koncový bod? Zaregistrujte si bezplatnou zkušební verzi.

Defender for Endpoint podporuje širokou škálu možností, jak zajistit, aby zákazníci mohli platformu snadno přijmout.

Vzhledem k tomu, že prostředí a struktury zákazníků se můžou lišit, vytvořil se Defender for Endpoint s flexibilitou a granulárním řízením, aby vyhovoval různým požadavkům zákazníků.

Přístup ke koncovým bodům a přístup k portálu

Připojení zařízení je plně integrované do Microsoft Endpoint Manager a Microsoft Intune pro klientská zařízení a Microsoft Defender pro serverová zařízení, které poskytuje kompletní možnosti konfigurace, nasazení a monitorování. Kromě toho Microsoft Defender for Endpoint podporuje Zásady skupiny a další nástroje třetích stran používané pro správu zařízení.

Defender pro koncový bod poskytuje přesnou kontrolu nad tím, co uživatelé s přístupem na portál vidí a dělají díky flexibilitě řízení přístupu založeného na rolích (RBAC). Model RBAC podporuje všechny varianty struktury týmů zabezpečení:

  • Globálně distribuované organizace a týmy zabezpečení
  • Týmy pro operace zabezpečení vrstvené modelu
  • Plně oddělené divize s jednotnými centralizovanými týmy globálních bezpečnostních operací

Dostupná rozhraní API

Řešení Microsoft Defender for Endpoint je postavené na platformě připravené pro integraci.

Defender pro koncový bod poskytuje velkou část svých dat a akcí prostřednictvím sady programových rozhraní API. Tato rozhraní API vám umožní automatizovat pracovní postupy a inovovat na základě funkcí Defenderu pro koncové body.

Dostupné rozhraní API a integrace v Microsoft Defender for Endpoint

Rozhraní API Defenderu pro koncové body můžete seskupit do tří:

  • Microsoft Defender for Endpoint rozhraní API
  • Rozhraní API pro streamování nezpracovaných dat
  • Integrace SIEM

Microsoft Defender for Endpoint rozhraní API

Defender pro koncový bod nabízí model rozhraní API s vrstvenou vrstvou, který vystavuje data a funkce ve strukturovaném, jasném a snadno použitelným modelu, který je vystavený prostřednictvím standardního modelu ověřování a autorizace založeného na službě Azure AD, který umožňuje přístup v kontextu uživatelů nebo aplikací SaaS. Model rozhraní API byl navržen tak, aby vystavěl entity a možnosti v konzistentní podobě.

V tomto videu najdete rychlý přehled rozhraní API Defenderu pro koncové body.

Rozhraní Api pro vyšetřování poskytuje bohatost defenderu pro koncový bod – vystavuje počítané nebo "profilované" entity (například zařízení, uživatele a soubor) a samostatné události (například vytváření procesů a vytváření souborů), které obvykle popisují chování související s entitou a umožňují přístup k datům prostřednictvím rozhraní pro vyšetřování, která umožňují přístup k datům založeným na dotazech. Další informace najdete v tématu Podporovaná rozhraní API.

Rozhraní API pro odpovědi nabízí možnost provádět akce ve službě a na zařízeních, což zákazníkům umožňuje ingestovat indikátory, spravovat nastavení, stav upozornění a programově provádět akce odezvy na zařízeních, jako je izolování zařízení ze sítě, karanténních souborů a dalších.

Rozhraní API pro streamování nezpracovaných dat

Rozhraní Defender for Endpoint raw data streaming API umožňuje zákazníkům doručovat události v reálném čase a upozornění z jejich instancí, ke kterým dochází v rámci jednoho datového proudu, a poskytuje tak mechanismus doručování s nízkou latencí a vysokou propustností.

Informace o události Defenderu pro koncový bod se přemisťují přímo do úložiště Azure pro dlouhodobé uchovávání dat nebo k Azure Event Hubs pro využití vizualizačními službami nebo dalšími moduly pro zpracování dat.

Další informace najdete v článku Rozhraní API pro streamování nezpracovaných dat.

Nové rozhraní api Microsoft 365 Defender streamování zahrnuje kromě událostí zařízení i události e-mailu a upozornění. Další informace najdete v tématu Microsoft 365 Defender Rozhraní API pro streamování.

SIEM API

Když povolíte integraci informací o zabezpečení a správy událostí (SIEM), umožní vám to načítá zjišťování z Microsoft 365 Defender pomocí vašeho řešení SIEM nebo připojením přímo k rozhraní REST API pro zjišťování. Tím se aktivuje oddíl podrobnosti o přístupu ke konektoru SIEM s předem vyplněnými hodnotami a aplikace se vytvoří pod vaším tenantem Azure Active Directory (Azure AD).