Overfør fra MDE SIEM-API til API'en for Microsoft Defender XDR beskeder

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Brug den nye API til Microsoft Defender XDR til alle dine beskeder

API'en til Microsoft Defender XDR beskeder, der udgives til offentlig prøveversion i MS Graph, er den officielle og anbefalede API til kunder, der migrerer fra SIEM-API'en. Denne API gør det muligt for kunder at arbejde med beskeder på tværs af alle Microsoft Defender XDR produkter ved hjælp af en enkelt integration. Vi forventer, at den nye API når offentlig tilgængelighed inden Q1 CY 2023.

SIEM-API'en frarådes den 31. december 2023. Det er erklæret som "frarådes", men ikke "pensioneret". Det betyder, at SIEM-API'en indtil denne dato fortsat fungerer for eksisterende kunder. Efter udfasningsdatoen vil SIEM-API'en fortsat være tilgængelig, men den understøttes kun for sikkerhedsrelaterede rettelser.

Fra og med den 31. december 2024, tre år efter den oprindelige meddelelse om udfasning, forbeholder vi os ret til at slå SIEM-API'en fra uden yderligere varsel.

Du kan finde flere oplysninger om de nye API'er i blogmeddelelsen: De nye Microsoft Defender XDR API'er i Microsoft Graph er nu tilgængelige som offentlig prøveversion!

API-dokumentation: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph

Hvis du er kunde, der bruger SIEM-API'en, anbefaler vi på det kraftigste, at du planlægger og udfører migreringen. Denne artikel indeholder oplysninger om de indstillinger, der er tilgængelige for overførsel til en understøttet funktion:

1. Trække MDE beskeder til et eksternt system (SIEM/SOAR).

2. Kald af API'en for Microsoft Defender XDR beskeder direkte.

Læs om api'en for nye Microsoft Defender XDR beskeder og hændelser

Trækker Defender for Endpoint-beskeder til et eksternt system

Hvis du trækker Defender for Endpoint-beskeder til et eksternt system, er der flere understøttede muligheder for at give organisationer fleksibiliteten til at arbejde med løsningen efter eget valg:

1. Microsoft Sentinel er en skalerbar SOAR-løsning (cloudbaseret, SIEM- og Sikkerhedsorkestrering, automatisering og svar). Leverer intelligent sikkerhedsanalyse og trusselsintelligens på tværs af virksomheden, hvilket giver en enkelt løsning til registrering af angreb, trusselssynlighed, proaktiv jagt og trusselssvar. Med Microsoft Defender XDR-connectoren kan kunderne nemt hente alle deres hændelser og beskeder fra alle Microsoft Defender XDR produkter. Hvis du vil vide mere om integrationen, skal du se Microsoft Defender XDR integration med Microsoft Sentinel.

2. IBM Security QRadar SIEM giver central synlighed og intelligent sikkerhedsanalyse til at identificere og forhindre trusler og sårbarheder i at afbryde forretningshandlinger. QRadar SIEM-teamet har netop annonceret udgivelsen af en ny DSM, der er integreret med den nye API til Microsoft Defender XDR-beskeder for at hente Microsoft Defender for Endpoint beskeder ind. Nye kunder er velkomne til at drage fordel af den nye DSM ved udgivelsen. Få mere at vide om den nye DSM, og hvordan du nemt kan migrere til den på Microsoft Defender XDR – IBM-dokumentation.

3. Splunk SOAR hjælper kunderne med at orkestrere arbejdsprocesser og automatisere opgaver på få sekunder for at arbejde smartere og reagere hurtigere. Splunk SOAR er integreret med de nye API'er til Microsoft Defender XDR, herunder BESKED-API'en. Du kan få flere oplysninger under Microsoft Defender XDR | Splunkbase

Andre integrationer er angivet i Teknologiske partnere i Microsoft Defender XDR, eller kontakt din SIEM-/SOAR-udbyder for at få mere at vide om de integrationer, de leverer.

Kald af API'en til Microsoft Defender XDR-beskeder direkte

Nedenstående tabel indeholder en tilknytning mellem SIEM-API'en til API'en for Microsoft Defender XDR beskeder:

EGENSKABEN SIEM API	Kortlægning	API-egenskab for Microsoft Defender XDR vigtig besked
AlertTime	->	createdDateTime
ComputerDnsName	->	evidence/deviceEvidence: deviceDnsName
AlertTitle	->	title
Category	->	category
Severity	->	severity
AlertId	->	id
Actor	->	actorDisplayName
LinkToWDATP	->	alertWebUrl
IocName	X	IoC-felter understøttes ikke
IocValue	X	IoC-felter understøttes ikke
CreatorIocName	X	IoC-felter understøttes ikke
CreatorIocValue	X	IoC-felter understøttes ikke
Sha1	->	evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName	->	evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath	->	evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress	->	evidence/ipEvidence: ipAddress
URL	->	evidence/urlEvidence: url
IoaDefinitionId	->	detectorId
UserName	->	evidence/userEvidence/userAccount: accountName
AlertPart	X	Forældet (Defender for Endpoint-beskeder er atomiske/komplette, der kan opdateres, mens SIEM-API'en var uforanderlige registreringsposter)
FullId	X	IoC-felter understøttes ikke
LastProcessedTimeUtc	->	lastActivityDateTime
ThreatCategory	->	mitreTechniques []
ThreatFamilyName	->	threatFamilyName
ThreatName	->	threatDisplayName
RemediationAction	->	evidence: remediationStatus
RemediationIsSuccess	->	evidence: remediationStatus (implied)
Source	->	detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5	X	Understøttes ikke
Sha256	->	evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected	->	evidence/processEvidence: detectionStatus
UserDomain	->	evidence/userEvidence/userAccount: domainName
LogOnUsers	->	evidence/deviceEvidence: loggedOnUsers []
MachineDomain	->	Inkluderet i evidence/deviceEvidence: deviceDnsName
MachineName	->	Inkluderet i evidence/deviceEvidence: deviceDnsName
InternalIPV4List	X	Understøttes ikke
InternalIPV6List	X	Understøttes ikke
FileHash	->	Brug sha1 eller sha256
DeviceID	->	evidence/deviceEvidence: mdeDeviceId
MachineGroup	->	evidence/deviceEvidence: rbacGroupName
Description	->	description
DeviceCreatedMachineTags	->	evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags	->	evidence: tags [] (for deviceEvidence)
CommandLine	->	evidence/processEvidence: processCommandLine
IncidentLinkToWDATP	->	incidentWebUrl
ReportId	X	Forældet (Defender for Endpoint-beskeder er atomiske/komplette, der kan opdateres, mens SIEM-API'en var uforanderlige registreringsposter)
LinkToMTP	->	alertWebUrl
IncidentLinkToMTP	->	incidentWebUrl
ExternalId	X	Forældet
IocUniqueId	X	IoC-felter understøttes ikke

Indfødning af beskeder ved hjælp af SIEM-værktøjer (Security Information And Events Management)

Bemærk!

Microsoft Defender for Endpoint Besked består af en eller flere mistænkelige eller skadelige hændelser, der opstod på enheden, og deres relaterede oplysninger. API'en til Microsoft Defender for Endpoint vigtig besked er den seneste API til forbrug af beskeder og indeholder en detaljeret liste over relaterede beviser for hver besked. Du kan få flere oplysninger under Metoder og egenskaber for beskeder og Listebeskeder.

Microsoft Defender for Endpoint understøtter SIEM-værktøjer (security information and event management), der henter oplysninger fra din virksomhedslejer i Microsoft Entra ID ved hjælp af OAuth 2.0-godkendelsesprotokollen for en registreret Microsoft Entra program, der repræsenterer den specifikke SIEM-løsning eller -connector, der er installeret i dit miljø.

Du kan finde flere oplysninger under:

• licens til Microsoft Defender for Endpoint API'er og vilkår for anvendelse
• Få adgang til Microsoft Defender for Endpoint API'er
• Hello World eksempel (beskriver, hvordan du registrerer et program i Microsoft Entra ID)
• Få adgang med programkontekst
• Microsoft Defender XDR SIEM-integration

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.