Eseguire la migrazione dall'API SIEM MDE all'API avvisi Microsoft Defender XDR

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR

Usare la nuova API Microsoft Defender XDR per tutti gli avvisi

L'API avvisi Microsoft Defender XDR, rilasciata in anteprima pubblica in MS Graph, è l'API ufficiale e consigliata per i clienti che esecedono dall'API SIEM. Questa API consente ai clienti di usare gli avvisi in tutti i prodotti Microsoft Defender XDR usando una singola integrazione. Si prevede che la nuova API raggiunga la disponibilità generale entro il primo trimestre 2023.

L'API SIEM è stata deprecata il 31 dicembre 2023. Viene dichiarato come "deprecato", ma non "ritirato". Ciò significa che fino a questa data, l'API SIEM continua a funzionare per i clienti esistenti. Dopo la data di deprecazione, l'API SIEM continuerà a essere disponibile, ma sarà supportata solo per le correzioni correlate alla sicurezza.

A partire dal 31 dicembre 2024, tre anni dopo l'annuncio di deprecazione originale, ci riserviamo il diritto di disattivare l'API SIEM, senza ulteriori preavvisi.

Per altre informazioni sulle nuove API, vedere l'annuncio del blog: le nuove API Microsoft Defender XDR in Microsoft Graph sono ora disponibili in anteprima pubblica.

Documentazione dell'API: Usare l'API di sicurezza di Microsoft Graph - Microsoft Graph

Se si è un cliente che usa l'API SIEM, è consigliabile pianificare ed eseguire la migrazione. Questo articolo include informazioni sulle opzioni disponibili per la migrazione a una funzionalità supportata:

1. Pull degli avvisi MDE in un sistema esterno (SIEM/SOAR).

2. Chiamata diretta dell'API avvisi Microsoft Defender XDR.

Informazioni sulla nuova API avvisi e eventi imprevisti Microsoft Defender XDR

Pull degli avvisi di Defender per endpoint in un sistema esterno

Se si esegue il pull degli avvisi di Defender per endpoint in un sistema esterno, sono disponibili diverse opzioni supportate per offrire alle organizzazioni la flessibilità necessaria per usare la soluzione di propria scelta:

1. Microsoft Sentinel è una soluzione scalabile, nativa del cloud, siem e sicurezza per orchestrazione, automazione e risposta (SOAR). Offre analisi intelligente della sicurezza e intelligence sulle minacce in tutta l'azienda, offrendo un'unica soluzione per il rilevamento degli attacchi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce. Il connettore Microsoft Defender XDR consente ai clienti di eseguire facilmente il pull di tutti gli eventi imprevisti e gli avvisi da tutti i prodotti Microsoft Defender XDR. Per altre informazioni sull'integrazione, vedere Microsoft Defender XDR l'integrazione con Microsoft Sentinel.

2. IBM Security QRadar SIEM offre visibilità centralizzata e analisi intelligente della sicurezza per identificare e impedire che minacce e vulnerabilità interrompano le operazioni aziendali. Il team di QRadar SIEM ha appena annunciato il rilascio di un nuovo DSM integrato con la nuova API avvisi Microsoft Defender XDR per eseguire il pull degli avvisi Microsoft Defender per endpoint. I nuovi clienti possono sfruttare il nuovo DSM al momento del rilascio. Per altre informazioni sul nuovo DSM e su come eseguirne facilmente la migrazione, vedere Microsoft Defender XDR - Documentazione IBM.

3. Splunk SOAR consente ai clienti di orchestrare i flussi di lavoro e automatizzare le attività in pochi secondi per lavorare in modo più intelligente e rispondere più velocemente. Splunk SOAR è integrato con le nuove API Microsoft Defender XDR, inclusa l'API avvisi. Per altre informazioni, vedere Microsoft Defender XDR | Splunkbase

Altre integrazioni sono elencate in Partner tecnologici di Microsoft Defender XDR oppure contattare il provider SIEM/SOAR per informazioni sulle integrazioni fornite.

Chiamata diretta dell'API avvisi Microsoft Defender XDR

La tabella seguente fornisce un mapping tra l'API SIEM e l'API avvisi Microsoft Defender XDR:

PROPRIETÀ DELL'API SIEM	Mapping	Microsoft Defender XDR proprietà DELL'API avviso
AlertTime	->	createdDateTime
ComputerDnsName	->	evidence/deviceEvidence: deviceDnsName
AlertTitle	->	title
Category	->	category
Severity	->	severity
AlertId	->	id
Actor	->	actorDisplayName
LinkToWDATP	->	alertWebUrl
IocName	X	Campi IoC non supportati
IocValue	X	Campi IoC non supportati
CreatorIocName	X	Campi IoC non supportati
CreatorIocValue	X	Campi IoC non supportati
Sha1	->	evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName	->	evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath	->	evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress	->	evidence/ipEvidence: ipAddress
URL	->	evidence/urlEvidence: url
IoaDefinitionId	->	detectorId
UserName	->	evidence/userEvidence/userAccount: accountName
AlertPart	X	Obsoleto (gli avvisi di Defender per endpoint sono atomici/completi aggiornabili, mentre l'API SIEM era record non modificabili di rilevamenti)
FullId	X	Campi IoC non supportati
LastProcessedTimeUtc	->	lastActivityDateTime
ThreatCategory	->	mitreTechniques []
ThreatFamilyName	->	threatFamilyName
ThreatName	->	threatDisplayName
RemediationAction	->	evidence: remediationStatus
RemediationIsSuccess	->	evidence: remediationStatus (implied)
Source	->	detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5	X	Non supportato
Sha256	->	evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected	->	evidence/processEvidence: detectionStatus
UserDomain	->	evidence/userEvidence/userAccount: domainName
LogOnUsers	->	evidence/deviceEvidence: loggedOnUsers []
MachineDomain	->	Incluso in evidence/deviceEvidence: deviceDnsName
MachineName	->	Incluso in evidence/deviceEvidence: deviceDnsName
InternalIPV4List	X	Non supportato
InternalIPV6List	X	Non supportato
FileHash	->	Usare sha1 o sha256
DeviceID	->	evidence/deviceEvidence: mdeDeviceId
MachineGroup	->	evidence/deviceEvidence: rbacGroupName
Description	->	description
DeviceCreatedMachineTags	->	evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags	->	evidence: tags [] (for deviceEvidence)
CommandLine	->	evidence/processEvidence: processCommandLine
IncidentLinkToWDATP	->	incidentWebUrl
ReportId	X	Obsoleto (gli avvisi di Defender per endpoint sono atomici/completi aggiornabili, mentre l'API SIEM era record non modificabili di rilevamenti)
LinkToMTP	->	alertWebUrl
IncidentLinkToMTP	->	incidentWebUrl
ExternalId	X	Obsoleto
IocUniqueId	X	Campi IoC non supportati

Inserire avvisi usando gli strumenti di gestione delle informazioni di sicurezza e degli eventi (SIEM)

Nota

Microsoft Defender per endpoint avviso è costituito da uno o più eventi sospetti o dannosi che si sono verificati nel dispositivo e i relativi dettagli correlati. L'API avviso Microsoft Defender per endpoint è l'API più recente per l'utilizzo degli avvisi e contiene un elenco dettagliato delle evidenze correlate per ogni avviso. Per altre informazioni, vedere Metodi di avviso e proprietà e Avvisi elenco.

Microsoft Defender per endpoint supporta gli strumenti siem (Security Information and Event Management) che inserino informazioni dal tenant aziendale in Microsoft Entra ID usando il protocollo di autenticazione OAuth 2.0 per un Microsoft Entra registrato applicazione che rappresenta la soluzione o il connettore SIEM specifico installato nell'ambiente.

Per ulteriori informazioni consulta:

• Microsoft Defender per endpoint licenza e condizioni per l'utilizzo delle API
• Accedere a API di Microsoft Defender per endpoint
• Hello World esempio (descrive come registrare un'applicazione in Microsoft Entra ID)
• Ottenere l'accesso con il contesto delle applicazioni
• integrazione siem Microsoft Defender XDR

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.