Migrer de l’API SIEM MDE vers l’API d’alertes Microsoft Defender XDR

S’applique à :

Utiliser la nouvelle API Microsoft Defender XDR pour toutes vos alertes

L’API Microsoft Defender XDR alertes, publiée en préversion publique dans MS Graph, est l’API officielle et recommandée pour les clients qui migrent à partir de l’API SIEM. Cette API permet aux clients d’utiliser des alertes sur tous les produits Microsoft Defender XDR à l’aide d’une seule intégration. Nous nous attendons à ce que la nouvelle API atteigne la disponibilité générale (GA) au 1er trimestre 2023.

L’API SIEM a été déconseillée le 31 décembre 2023. Il est déclaré « déconseillé », mais pas « mis hors service ». Cela signifie que jusqu’à cette date, l’API SIEM continue de fonctionner pour les clients existants. Après la date de dépréciation, l’API SIEM continuera d’être disponible, mais elle sera uniquement prise en charge pour les correctifs liés à la sécurité.

À compter du 31 décembre 2024, trois ans après l’annonce de dépréciation initiale, nous nous réservons le droit de désactiver l’API SIEM, sans autre préavis.

Pour plus d’informations sur les nouvelles API, consultez l’annonce de blog : Les nouvelles API Microsoft Defender XDR dans Microsoft Graph sont désormais disponibles en préversion publique !

Documentation de l’API : Utiliser l’API de sécurité Microsoft Graph - Microsoft Graph

Si vous êtes un client utilisant l’API SIEM, nous vous recommandons vivement de planifier et d’exécuter la migration. Cet article contient des informations sur les options disponibles pour migrer vers une fonctionnalité prise en charge :

  1. Extraction d’alertes MDE dans un système externe (SIEM/SOAR).

  2. Appel direct de l’API d’alertes Microsoft Defender XDR.

En savoir plus sur la nouvelle API d’alertes et d’incidents Microsoft Defender XDR

Extraction d’alertes Defender pour point de terminaison dans un système externe

Si vous extrayez des alertes Defender pour point de terminaison dans un système externe, plusieurs options sont prises en charge pour donner aux organisations la possibilité de travailler avec la solution de leur choix :

  1. Microsoft Sentinel est une solution scalable native cloud, SIEM et Soar (Security Orchestration, Automation, and Response). Fournit des analyses de sécurité intelligentes et des informations sur les menaces au sein de l’entreprise, en fournissant une solution unique pour la détection des attaques, la visibilité des menaces, la chasse proactive et la réponse aux menaces. Le connecteur Microsoft Defender XDR permet aux clients d’extraire facilement tous leurs incidents et alertes de tous les produits Microsoft Defender XDR. Pour en savoir plus sur l’intégration, consultez Microsoft Defender XDR’intégration à Microsoft Sentinel.

  2. IBM Security QRadar SIEM fournit une visibilité centralisée et une analytique de sécurité intelligente pour identifier et empêcher les menaces et les vulnérabilités de perturber les opérations de l’entreprise. L’équipe SIEM QRadar vient d’annoncer la publication d’un nouveau DSM intégré à la nouvelle API d’alertes Microsoft Defender XDR pour extraire Microsoft Defender pour point de terminaison alertes. Les nouveaux clients sont invités à tirer parti du nouveau DSM lors de sa publication. Pour en savoir plus sur le nouveau DSM et sur la façon de migrer facilement vers celui-ci, consultez Microsoft Defender XDR - Documentation IBM.

  3. Splunk SOAR aide les clients à orchestrer des flux de travail et à automatiser les tâches en quelques secondes pour travailler plus intelligemment et répondre plus rapidement. Splunk SOAR est intégré aux nouvelles API Microsoft Defender XDR, y compris l’API d’alertes. Pour plus d’informations, consultez Microsoft Defender XDR | Splunkbase

D’autres intégrations sont répertoriées dans Partenaires technologiques de Microsoft Defender XDR, ou contactez votre fournisseur SIEM/SOAR pour en savoir plus sur les intégrations qu’ils fournissent.

Appel direct de l’API d’alertes Microsoft Defender XDR

Le tableau ci-dessous fournit un mappage entre l’API SIEM et l’API d’alertes Microsoft Defender XDR :

Propriété de l’API SIEM Mappage Propriété de l’API d’alerte Microsoft Defender XDR
AlertTime -> createdDateTime
ComputerDnsName -> evidence/deviceEvidence: deviceDnsName
AlertTitle -> title
Category -> category
Severity -> severity
AlertId -> id
Actor -> actorDisplayName
LinkToWDATP -> alertWebUrl
IocName X Champs IoC non pris en charge
IocValue X Champs IoC non pris en charge
CreatorIocName X Champs IoC non pris en charge
CreatorIocValue X Champs IoC non pris en charge
Sha1 -> evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName -> evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath -> evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress -> evidence/ipEvidence: ipAddress
URL -> evidence/urlEvidence: url
IoaDefinitionId -> detectorId
UserName -> evidence/userEvidence/userAccount: accountName
AlertPart X Obsolète (les alertes Defender pour point de terminaison sont atomiques/complètes pouvant être mises à jour, tandis que l’API SIEM était des enregistrements immuables de détections)
FullId X Champs IoC non pris en charge
LastProcessedTimeUtc -> lastActivityDateTime
ThreatCategory -> mitreTechniques []
ThreatFamilyName -> threatFamilyName
ThreatName -> threatDisplayName
RemediationAction -> evidence: remediationStatus
RemediationIsSuccess -> evidence: remediationStatus (implied)
Source -> detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5 X Non pris en charge
Sha256 -> evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected -> evidence/processEvidence: detectionStatus
UserDomain -> evidence/userEvidence/userAccount: domainName
LogOnUsers -> evidence/deviceEvidence: loggedOnUsers []
MachineDomain -> Inclus dans evidence/deviceEvidence: deviceDnsName
MachineName -> Inclus dans evidence/deviceEvidence: deviceDnsName
InternalIPV4List X Non pris en charge
InternalIPV6List X Non pris en charge
FileHash -> Utiliser sha1 ou sha256
DeviceID -> evidence/deviceEvidence: mdeDeviceId
MachineGroup -> evidence/deviceEvidence: rbacGroupName
Description -> description
DeviceCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CommandLine -> evidence/processEvidence: processCommandLine
IncidentLinkToWDATP -> incidentWebUrl
ReportId X Obsolète (les alertes Defender pour point de terminaison sont atomiques/complètes pouvant être mises à jour, tandis que l’API SIEM était des enregistrements immuables de détections)
LinkToMTP -> alertWebUrl
IncidentLinkToMTP -> incidentWebUrl
ExternalId X Obsolète
IocUniqueId X Champs IoC non pris en charge

Ingérer des alertes à l’aide des outils SIEM (Security Information and Events Management)

Remarque

Microsoft Defender pour point de terminaison’alerte est composée d’un ou plusieurs événements suspects ou malveillants qui se sont produits sur l’appareil et de leurs détails connexes. L’API d’alerte Microsoft Defender pour point de terminaison est la dernière API pour la consommation des alertes et contient une liste détaillée des preuves associées pour chaque alerte. Pour plus d’informations, consultez Méthodes et propriétés d’alerte et Répertorier les alertes.

Microsoft Defender pour point de terminaison prend en charge les outils SIEM (Security Information and Event Management) qui ingèrent les informations de votre locataire d’entreprise dans Microsoft Entra ID à l’aide du protocole d’authentification OAuth 2.0 pour un Microsoft Entra inscrit application représentant la solution SIEM ou le connecteur spécifique installé dans votre environnement.

Pour plus d’informations, consultez l’article suivant :

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.