Migrar da API do SIEM do MDE para a API de alertas de Microsoft Defender XDR

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR

Use a nova API Microsoft Defender XDR para todos os alertas

A API de alertas Microsoft Defender XDR, lançada para visualização pública no MS Graph, é a API oficial e recomendada para clientes que migram da API SIEM. Essa API permite que os clientes trabalhem com alertas em todos os Microsoft Defender XDR produtos usando uma única integração. Esperamos que a nova API alcance a GA (disponibilidade geral) até o 1º trimestre de 2023.

A API SIEM foi preterida em 31 de dezembro de 2023. É declarado como "preterido", mas não "aposentado". Isso significa que, até esta data, a API SIEM continua funcionando para clientes existentes. Após a data de preterimento, a API SIEM continuará disponível, no entanto, ela só terá suporte para correções relacionadas à segurança.

A partir de 31 de dezembro de 2024, três anos após o anúncio original de preterição, reservamos o direito de desativar a API SIEM, sem aviso prévio.

Para obter mais informações sobre as novas APIs, confira o comunicado do blog: as novas APIs Microsoft Defender XDR no Microsoft Graph já estão disponíveis em versão prévia pública!

Documentação da API: usar a API de segurança do Microsoft Graph – Microsoft Graph

Se você for um cliente usando a API SIEM, recomendamos planejar e executar a migração. Este artigo inclui informações sobre as opções disponíveis para migrar para um recurso com suporte:

1. Puxando alertas de MDE para um sistema externo (SIEM/SOAR).

2. Chamar a API de alertas Microsoft Defender XDR diretamente.

Ler sobre a nova API de alertas e incidentes Microsoft Defender XDR

Puxando alertas do Defender para Ponto de Extremidade em um sistema externo

Se você estiver puxando alertas do Defender para Ponto de Extremidade em um sistema externo, há várias opções com suporte para dar às organizações a flexibilidade de trabalhar com a solução de sua escolha:

1. O Microsoft Sentinel é uma solução SOAR (orquestração, automação e resposta) escalonável, nativa da nuvem, SIEM e Segurança. Fornece análise de segurança inteligente e inteligência contra ameaças em toda a empresa, fornecendo uma única solução para detecção de ataque, visibilidade de ameaças, caça proativa e resposta a ameaças. O conector Microsoft Defender XDR permite que os clientes puxem facilmente todos os seus incidentes e alertas de todos os Microsoft Defender XDR produtos. Para saber mais sobre a integração, consulte Microsoft Defender XDR integração com o Microsoft Sentinel.

2. Ibm Security QRadar O SIEM fornece visibilidade centralizada e análise inteligente de segurança para identificar e impedir que ameaças e vulnerabilidades interrompam as operações comerciais. A equipe do SIEM do QRadar acaba de anunciar a liberação de um novo DSM integrado à nova API de alertas Microsoft Defender XDR para puxar alertas de Microsoft Defender para Ponto de Extremidade. Novos clientes são bem-vindos para aproveitar o novo DSM após a versão. Saiba mais sobre o novo DSM e como migrar facilmente para ele em Microsoft Defender XDR – Documentação da IBM.

3. O Splunk SOAR ajuda os clientes a orquestrar fluxos de trabalho e automatizar tarefas em segundos para trabalhar mais inteligente e responder mais rapidamente. O Splunk SOAR está integrado às novas APIs Microsoft Defender XDR, incluindo a API de alertas. Para obter mais informações, consulte Microsoft Defender XDR | Splunkbase

Outras integrações são listadas em parceiros tecnológicos de Microsoft Defender XDR ou entram em contato com seu provedor SIEM/SOAR para saber mais sobre as integrações que eles fornecem.

Chamar a API de alertas Microsoft Defender XDR diretamente

A tabela abaixo fornece um mapeamento entre a API SIEM para a API de alertas de Microsoft Defender XDR:

Propriedade API SIEM	Mapeamento	propriedade da API de alerta Microsoft Defender XDR
AlertTime	->	createdDateTime
ComputerDnsName	->	evidence/deviceEvidence: deviceDnsName
AlertTitle	->	title
Category	->	category
Severity	->	severity
AlertId	->	id
Actor	->	actorDisplayName
LinkToWDATP	->	alertWebUrl
IocName	X	Campos IoC não compatíveis
IocValue	X	Campos IoC não compatíveis
CreatorIocName	X	Campos IoC não compatíveis
CreatorIocValue	X	Campos IoC não compatíveis
Sha1	->	evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName	->	evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath	->	evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress	->	evidence/ipEvidence: ipAddress
URL	->	evidence/urlEvidence: url
IoaDefinitionId	->	detectorId
UserName	->	evidence/userEvidence/userAccount: accountName
AlertPart	X	Obsoleto (os alertas do Defender para Ponto de Extremidade são atômicos/completos que são atualizáveis, enquanto a API do SIEM eram registros imutáveis de detecções)
FullId	X	Campos IoC não compatíveis
LastProcessedTimeUtc	->	lastActivityDateTime
ThreatCategory	->	mitreTechniques []
ThreatFamilyName	->	threatFamilyName
ThreatName	->	threatDisplayName
RemediationAction	->	evidence: remediationStatus
RemediationIsSuccess	->	evidence: remediationStatus (implied)
Source	->	detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5	X	Sem suporte
Sha256	->	evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected	->	evidence/processEvidence: detectionStatus
UserDomain	->	evidence/userEvidence/userAccount: domainName
LogOnUsers	->	evidence/deviceEvidence: loggedOnUsers []
MachineDomain	->	Incluído em evidence/deviceEvidence: deviceDnsName
MachineName	->	Incluído em evidence/deviceEvidence: deviceDnsName
InternalIPV4List	X	Sem suporte
InternalIPV6List	X	Sem suporte
FileHash	->	Usar sha1 ou sha256
DeviceID	->	evidence/deviceEvidence: mdeDeviceId
MachineGroup	->	evidence/deviceEvidence: rbacGroupName
Description	->	description
DeviceCreatedMachineTags	->	evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags	->	evidence: tags [] (for deviceEvidence)
CommandLine	->	evidence/processEvidence: processCommandLine
IncidentLinkToWDATP	->	incidentWebUrl
ReportId	X	Obsoleto (os alertas do Defender para Ponto de Extremidade são atômicos/completos que são atualizáveis, enquanto a API do SIEM eram registros imutáveis de detecções)
LinkToMTP	->	alertWebUrl
IncidentLinkToMTP	->	incidentWebUrl
ExternalId	X	Obsoleto
IocUniqueId	X	Campos IoC não compatíveis

Ingerir alertas usando ferramentas de SIEM (gerenciamento de informações de segurança e eventos)

Observação

Microsoft Defender para Ponto de Extremidade Alert é composto por um ou mais eventos suspeitos ou mal-intencionados que ocorreram no dispositivo e seus detalhes relacionados. A API de Alerta Microsoft Defender para Ponto de Extremidade é a API mais recente para consumo de alertas e contém uma lista detalhada de evidências relacionadas para cada alerta. Para obter mais informações, consulte Métodos de alerta e propriedades e Alertas de lista.

Microsoft Defender para Ponto de Extremidade dá suporte a ferramentas de SIEM (gerenciamento de eventos e informações de segurança) que ingerem informações do locatário da empresa em Microsoft Entra ID usando o protocolo de autenticação OAuth 2.0 para um Microsoft Entra registrado aplicativo que representa a solução ou conector SIEM específico instalado em seu ambiente.

Para saber mais, veja:

• Microsoft Defender para Ponto de Extremidade licença de APIs e termos de uso
• Acessar as APIs do Microsoft Defender para Ponto de Extremidade
• Olá, Mundo exemplo (descreve como registrar um aplicativo no Microsoft Entra ID)
• Obter acesso com o contexto do aplicativo
• Microsoft Defender XDR integração do SIEM

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.