관리 및 API 개요Overview of management and APIs

중요

향상된 Microsoft 365 보안 센터를 공개 미리 보기에서 사용할 수 있습니다.The improved Microsoft 365 security center is now available in public preview. 이 새로운 환경은 Endpoint용 Defender, Office 365용 Defender, Microsoft 365 Defender 등 Microsoft 365 보안 센터에 제공합니다.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 새로운 내용을 자세히 알아보는 것이 있습니다.Learn what's new. 이 항목은 끝점용 Microsoft Defender와 Microsoft 365 Defender 둘 다에 적용될 수 있습니다.This topic might apply to both Microsoft Defender for Endpoint and Microsoft 365 Defender. 적용 적용 섹션을 참조하고 이 문서에서 차이점이 있을 수 있는 특정 통화를 찾아보십시오.Refer to the Applies To section and look for specific call outs in this article where there might be differences.

적용 대상:Applies to:

Endpoint용 Defender를 경험하고 싶나요?Want to experience Defender for Endpoint? 무료 평가판에 등록하세요.Sign up for a free trial.

Endpoint용 Defender는 고객이 플랫폼을 쉽게 채택할 수 있도록 다양한 옵션을 지원합니다.Defender for Endpoint supports a wide variety of options to ensure that customers can easily adopt the platform.

고객 환경과 구조가 다를 수 있습니다. 끝점용 Defender는 다양한 고객 요구 사항에 맞게 유연성과 세분화된 제어를 통해 만들어졌습니다.Acknowledging that customer environments and structures can vary, Defender for Endpoint was created with flexibility and granular control to fit varying customer requirements.

끝점 온보드 및 포털 액세스Endpoint onboarding and portal access

장치 온보드가 Microsoft Endpoint Manager 및 클라이언트 장치용 Microsoft Intune과 서버 장치용 Azure 보안 센터에 완전히 통합되어 구성, 배포 및 모니터링에 대한 완전한 종단 간 환경을 제공합니다.Device onboarding is fully integrated into Microsoft Endpoint Manager and Microsoft Intune for client devices and Azure Security Center for server devices, providing complete end-to-end experience of configuration, deployment, and monitoring. 또한 Endpoint용 Microsoft Defender는 그룹 정책 및 장치 관리에 사용되는 기타 타사 도구를 지원합니다.In addition, Microsoft Defender for Endpoint supports Group Policy and other third-party tools used for devices management.

끝점용 Defender는 포털에 액세스할 수 있는 사용자가 RBAC(역할 기반 액세스 제어)의 유연성을 통해 보고 할 수 있는 작업을 세분화하여 제어할 수 있도록 합니다.Defender for Endpoint provides fine-grained control over what users with access to the portal can see and do through the flexibility of role-based access control (RBAC). RBAC 모델은 모든 보안 팀 구조를 지원합니다.The RBAC model supports all flavors of security teams structure:

  • 전역으로 분산된 조직 및 보안 팀Globally distributed organizations and security teams
  • 계층 모델 보안 운영 팀Tiered model security operations teams
  • 단일 중앙 집중식 전역 보안 운영 팀을 통해 완전히 구분된 부서Fully segregated divisions with single centralized global security operations teams

사용 가능한 APIAvailable APIs

끝점용 Microsoft Defender 솔루션은 통합 준비가 완료된 플랫폼을 토로합니다.The Microsoft Defender for Endpoint solution is built on top of an integration-ready platform.

Endpoint용 Defender는 프로그래밍 API 집합을 통해 많은 데이터와 작업을 노출합니다.Defender for Endpoint exposes much of its data and actions through a set of programmatic APIs. 이러한 API를 통해 워크플로를 자동화하고 끝점용 Defender 기능을 기반으로 혁신할 수 있습니다.Those APIs will enable you to automate workflows and innovate based on Defender for Endpoint capabilities.

끝점용 Microsoft Defender의 사용 가능한 API 및 통합 이미지

끝점용 Defender API는 다음 세 가지로 그룹화할 수 있습니다.The Defender for Endpoint APIs can be grouped into three:

  • 끝점 API용 Microsoft DefenderMicrosoft Defender for Endpoint APIs
  • 원시 데이터 스트리밍 APIRaw data streaming API
  • SIEM 통합SIEM integration

끝점 API용 Microsoft DefenderMicrosoft Defender for Endpoint APIs

Endpoint용 Defender는 사용자 또는 SaaS 응용 프로그램의 컨텍스트에서 액세스를 허용하는 표준 Azure AD 기반 인증 및 권한 부여 모델을 통해 노출되는 구조화되어 명확하며 사용하기 쉬운 모델의 데이터와 기능을 노출하는 계층화된 API 모델을 제공합니다.Defender for Endpoint offers a layered API model exposing data and capabilities in a structured, clear, and easy to use model, exposed through a standard Azure AD-based authentication and authorization model allowing access in context of users or SaaS applications. API 모델은 엔터티와 기능을 일관된 형태로 표시하도록 디자인되었습니다.The API model was designed to expose entities and capabilities in a consistent form.

끝점 API용 Defender에 대한 간략한 개요는 이 비디오를 시청하세요.Watch this video for a quick overview of Defender for Endpoint's APIs.

조사 API는 계산된 또는 '프로필된' 엔터티(예: 장치, 사용자 및 파일)와 일반적으로 엔터티와 관련된 동작을 설명하는 불연결 이벤트(예: 프로세스 생성 및 파일 만들기)를 노출하여 쿼리 기반 데이터에 대한 액세스를 허용하는 조사 인터페이스를 통해 데이터에 액세스할 수 있도록 하는 엔드포인트용 Defender의 풍부한 기능을 노출합니다.The Investigation API exposes the richness of Defender for Endpoint - exposing calculated or 'profiled' entities (for example, device, user, and file) and discrete events (for example, process creation and file creation) which typically describes a behavior related to an entity, enabling access to data via investigation interfaces allowing a query-based access to data. 자세한 내용은 지원되는 API를 참조하세요.For more information, see Supported APIs.

응답 API는 서비스 및 장치에서 작업을 수행할 수 있는 기능을 노출하여 고객이 표시기를 검색하고, 설정, 경고 상태를 관리하고, 장치에서 프로그래밍식으로 장치 격리, 파일 격리 등의 응답 작업을 수행할 수 있도록 합니다.The Response API exposes the ability to take actions in the service and on devices, enabling customers to ingest indicators, manage settings, alert status, as well as take response actions on devices programmatically such as isolate devices from the network, quarantine files, and others.

원시 데이터 스트리밍 APIRaw data streaming API

Endpoint 원시 데이터 스트리밍 API에 대한 Defender는 고객이 단일 데이터 스트림 내에서 발생할 때 인스턴스에서 실시간 이벤트 및 경고를 전달할 수 있도록 하여 짧은 대기 시간, 높은 처리률 전달 메커니즘을 제공합니다.Defender for Endpoint raw data streaming API provides the ability for customers to ship real-time events and alerts from their instances as they occur within a single data stream, providing a low latency, high throughput delivery mechanism.

장기 데이터 보존을 위해 Endpoint용 Defender 이벤트 정보는 Azure 저장소에 직접 푸시되거나 시각화 서비스 또는 추가 데이터 처리 엔진에서 사용할 수 있도록 Azure 이벤트 허브로 푸시됩니다.The Defender for Endpoint event information is pushed directly to Azure storage for long-term data retention, or to Azure Event Hubs for consumption by visualization services or additional data processing engines.

자세한 내용은 원시 데이터 스트리밍 API 를 참조하세요.For more information, see Raw data streaming API.

SIEM APISIEM API

SIEM(보안 정보 및 이벤트 관리) 통합을 사용하도록 설정하면 SIEM 솔루션을 사용하여 Microsoft Defender 보안 센터에서 검색을 끌어오거나 검색 REST API에 직접 연결할 수 있습니다.When you enable security information and event management (SIEM) integration, it allows you to pull detections from Microsoft Defender Security Center using your SIEM solution or by connecting directly to the detections REST API. 이렇게 하면 미리 채워진 값을 사용하여 SIEM 커넥터 액세스 세부 정보 섹션이 활성화되면 Azure AD(Azure Active Directory) 테넌트 아래에 응용 프로그램이 만들어집니다.This activates the SIEM connector access details section with pre-populated values and an application is created under your Azure Active Directory (Azure AD) tenant. 자세한 내용은 SIEM 통합을 참조하세요.For more information, see SIEM integration.