다음을 통해 공유


MDE SIEM API에서 Microsoft Defender XDR 경고 API로 마이그레이션

적용 대상:

모든 경고에 새 Microsoft Defender XDR API 사용

MS Graph에서 공개 미리 보기로 릴리스된 Microsoft Defender XDR 경고 API는 SIEM API에서 마이그레이션하는 고객에게 공식적이고 권장되는 API입니다. 이 API를 사용하면 고객이 단일 통합을 사용하여 모든 Microsoft Defender XDR 제품에서 경고를 사용할 수 있습니다. 새 API는 2023년 1분기까지 GA(일반 공급)에 도달할 것으로 예상됩니다.

SIEM API는 2023년 12월 31일에 더 이상 사용되지 않습니다. "사용되지 않음"으로 선언되었지만 "사용 중지"되지는 않습니다. 즉, 이 날짜까지 SIEM API는 기존 고객에 대해 계속 작동합니다. 사용 중단 날짜 이후에도 SIEM API는 계속 사용할 수 있지만 보안 관련 수정에 대해서만 지원됩니다.

원래 사용 중단 발표 3년 후인 2024년 12월 31일부터 추가 통지 없이 SIEM API를 해제할 권리가 있습니다.

새 API에 대한 자세한 내용은 블로그 공지 사항: Microsoft Graph의 새 Microsoft Defender XDR API를 공개 미리 보기에서 사용할 수 있습니다!

API 설명서: Microsoft Graph 보안 API 사용 - Microsoft Graph

SIEM API를 사용하는 고객인 경우 마이그레이션을 계획하고 실행하는 것이 좋습니다. 이 문서에는 지원되는 기능으로 마이그레이션하는 데 사용할 수 있는 옵션에 대한 정보가 포함되어 있습니다.

  1. MDE 경고를 외부 시스템(SIEM/SOAR)으로 끌어다 줍니다.

  2. Microsoft Defender XDR 경고 API를 직접 호출합니다.

새 Microsoft Defender XDR 경고 및 인시던트 API에 대해 읽어보세요.

엔드포인트용 Defender 경고를 외부 시스템으로 끌어다

엔드포인트용 Defender 경고를 외부 시스템으로 끌어들이는 경우 조직에서 선택한 솔루션을 유연하게 사용할 수 있도록 지원하는 몇 가지 옵션이 있습니다.

  1. Microsoft Sentinel 은 확장 가능한 클라우드 네이티브 SIEM 및 SOAR(보안 오케스트레이션, 자동화 및 응답) 솔루션입니다. 기업 전체에 지능형 보안 분석 및 위협 인텔리전스를 제공하여 공격 탐지, 위협 가시성, 사전 예방적 헌팅 및 위협 대응을 위한 단일 솔루션을 제공합니다. Microsoft Defender XDR 커넥터를 사용하면 고객이 모든 Microsoft Defender XDR 제품의 모든 인시던트 및 경고를 쉽게 가져올 수 있습니다. 통합에 대한 자세한 내용은 Microsoft Sentinel과의 Microsoft Defender XDR 통합을 참조하세요.

  2. IBM 보안 QRadar SIEM은 위협과 취약성이 비즈니스 운영을 방해하는 것을 식별하고 방지하기 위해 중앙 집중식 가시성 및 지능형 보안 분석을 제공합니다. QRadar SIEM 팀은 새 Microsoft Defender XDR 경고 API와 통합되어 엔드포인트용 Microsoft Defender 경고를 끌어오는 새 DSM의 릴리스를 발표했습니다. 새 고객은 릴리스 시 새 DSM을 활용할 수 있습니다. 새 DSM에 대해 자세히 알아보고 Microsoft Defender XDR - IBM 설명서에서 쉽게 마이그레이션하는 방법을 알아봅니다.

  3. Splunk SOAR 을 사용하면 고객이 워크플로를 오케스트레이션하고 작업을 몇 초 만에 자동화하여 더 스마트하게 작동하고 더 빠르게 대응할 수 있습니다. Splunk SOAR는 경고 API를 포함하여 새로운 Microsoft Defender XDR API와 통합됩니다. 자세한 내용은 Microsoft Defender XDR | Splunkbase

다른 통합은 Microsoft Defender XDR 기술 파트너에 나열되거나 SIEM/SOAR 공급자에게 문의하여 제공하는 통합에 대해 알아봅니다.

Microsoft Defender XDR 경고 API 직접 호출

아래 표에서는 SIEM API와 Microsoft Defender XDR 경고 API 간의 매핑을 제공합니다.

SIEM API 속성 매핑 경고 API 속성 Microsoft Defender XDR
AlertTime -> createdDateTime
ComputerDnsName -> evidence/deviceEvidence: deviceDnsName
AlertTitle -> title
Category -> category
Severity -> severity
AlertId -> id
Actor -> actorDisplayName
LinkToWDATP -> alertWebUrl
IocName X IoC 필드가 지원되지 않음
IocValue X IoC 필드가 지원되지 않음
CreatorIocName X IoC 필드가 지원되지 않음
CreatorIocValue X IoC 필드가 지원되지 않음
Sha1 -> evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName -> evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath -> evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress -> evidence/ipEvidence: ipAddress
URL -> evidence/urlEvidence: url
IoaDefinitionId -> detectorId
UserName -> evidence/userEvidence/userAccount: accountName
AlertPart X 사용되지 않음(엔드포인트용 Defender 경고는 업데이트할 수 있는 원자성/완전하지만 SIEM API는 변경할 수 없는 검색 레코드임)
FullId X IoC 필드가 지원되지 않음
LastProcessedTimeUtc -> lastActivityDateTime
ThreatCategory -> mitreTechniques []
ThreatFamilyName -> threatFamilyName
ThreatName -> threatDisplayName
RemediationAction -> evidence: remediationStatus
RemediationIsSuccess -> evidence: remediationStatus (implied)
Source -> detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5 X 지원되지 않음
Sha256 -> evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected -> evidence/processEvidence: detectionStatus
UserDomain -> evidence/userEvidence/userAccount: domainName
LogOnUsers -> evidence/deviceEvidence: loggedOnUsers []
MachineDomain -> 에 포함됨 evidence/deviceEvidence: deviceDnsName
MachineName -> 에 포함됨 evidence/deviceEvidence: deviceDnsName
InternalIPV4List X 지원되지 않음
InternalIPV6List X 지원되지 않음
FileHash -> 또는 사용 sha1sha256
DeviceID -> evidence/deviceEvidence: mdeDeviceId
MachineGroup -> evidence/deviceEvidence: rbacGroupName
Description -> description
DeviceCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CommandLine -> evidence/processEvidence: processCommandLine
IncidentLinkToWDATP -> incidentWebUrl
ReportId X 사용되지 않음(엔드포인트용 Defender 경고는 업데이트할 수 있는 원자성/완전하지만 SIEM API는 변경할 수 없는 검색 레코드임)
LinkToMTP -> alertWebUrl
IncidentLinkToMTP -> incidentWebUrl
ExternalId X 되지 않는
IocUniqueId X IoC 필드가 지원되지 않음

SIEM(보안 정보 및 이벤트 관리) 도구를 사용하여 경고 수집

참고

엔드포인트용 Microsoft Defender 경고는 디바이스에서 발생한 하나 이상의 의심스럽거나 악의적인 이벤트와 관련 세부 정보로 구성됩니다. 엔드포인트용 Microsoft Defender 경고 API는 경고 사용에 대한 최신 API이며 각 경고에 대한 자세한 관련 증거 목록을 포함합니다. 자세한 내용은 경고 메서드 및 속성 및경고 나열을 참조하세요.

엔드포인트용 Microsoft Defender 등록된 Microsoft Entra OAuth 2.0 인증 프로토콜을 사용하여 Microsoft Entra ID 엔터프라이즈 테넌트에서 정보를 수집하는 SIEM(보안 정보 및 이벤트 관리) 도구를 지원합니다. 환경에 설치된 특정 SIEM 솔루션 또는 커넥터를 나타내는 애플리케이션입니다.

자세한 내용은 다음 항목을 참조하세요.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.