Visão geral da gestão e APIs

Aplica-se a:

Quer experimentar o Defender para Endpoint? Inscreva-se numa versão de avaliação gratuita.

O Defender para Ponto Final suporta uma grande variedade de opções para garantir que os clientes podem adotar facilmente a plataforma.

Reconhecendo que os ambientes e estruturas dos clientes podem variar, o Defender para Ponto Final foi criado com flexibilidade e controlo granular para se adaptar a diferentes requisitos do cliente.

Acesso ao portal e à adoção de pontos finais

A ativação de dispositivos está totalmente integrada no Microsoft Endpoint Manager e no Microsoft Intune para dispositivos cliente e o Microsoft Defender para dispositivos de servidor, fornecendo uma experiência ponto a ponto completa de configuração, implementação e monitorização. Além disso, o Microsoft Defender para Endpoint suporta Política de Grupo ferramentas de terceiros utilizadas para a gestão de dispositivos.

O Defender para Pontos Finais fornece um controlo preciso sobre o que os utilizadores com acesso ao portal podem ver e fazer através da flexibilidade de controlo de acesso baseado em funções (RBAC). O modelo RBAC suporta todos os gostos da estrutura das equipas de segurança:

  • Organizações distribuídas globalmente e equipas de segurança
  • Equipas de operações de segurança de modelo empatado
  • Divisões totalmente segregadas com equipas de operações de segurança global únicas centralizadas

APIs disponíveis

A Microsoft Defender para Endpoint nova solução é criada a partir de uma plataforma pronta para integração.

O Defender para Ponto Final expõe a maior parte dos seus dados e ações através de um conjunto de APIs programáticas. Estas APIs irão permitir-lhe automatizar fluxos de trabalho e inovar com base nas capacidades do Defender para Pontos finais.

A API disponível e integração no Microsoft Defender para Endpoint

O Defender para APIs de Pontos Finais pode ser agrupado em três:

  • Microsoft Defender para Endpoint APIs
  • API de transmissão em fluxo de dados não brutos
  • Integração SIEM

Microsoft Defender para Endpoint APIs

O Defender para Pontos Finais oferece um modelo de API de camadas que expõe dados e funcionalidades num modelo estruturado, claro e fácil de utilizar, exposto através de um modelo de autenticação e autorização padrão baseado no Azure AD, permitindo o acesso no contexto de utilizadores ou aplicações SaaS. O modelo da API foi concebido para expor entidades e capacidades numa forma consistente.

Veja este vídeo para uma breve visão geral do Defender para as APIs do Endpoint.

A API de Investigação expõe a utilidade do Defender para Ponto Final , expondo entidades calculadas ou "perfiladas" (por exemplo, dispositivo, utilizador e ficheiro) e eventos discretos (por exemplo, criação de processos e criação de ficheiros) que, normalmente, descrevem um comportamento relacionado com uma entidade, permitindo o acesso a dados através de interfaces de investigação permitindo o acesso baseado em consultas a dados. Para obter mais informações, consulte APIs suportadas.

A API de Resposta expõe a capacidade de etuar ações no serviço e nos dispositivos, permitindo aos clientes inseri-los, gerir definições, estado de alertas, bem como tomar ações de resposta em dispositivos através de programação, como isolar dispositivos da rede, ficheiros de quarentena, entre outros.

API de transmissão em fluxo de dados não brutos

O Defender para API de transmissão em fluxo de dados em bruto do Ponto Final fornece a capacidade de os clientes enviarem alertas e eventos em tempo real a partir das respetivas instâncias à medida que ocorrem num único fluxo de dados, fornecendo um mecanismo de entrega de alto dégito e latência baixo.

As informações de evento do Defender para Ponto Final são enviadas diretamente para o armazenamento do Azure para retenção de dados a longo prazo ou para o Hubs de Eventos do Azure para utilização por serviços de visualização ou motores de processamento de dados adicionais.

Para obter mais informações, consulte API de transmissão em fluxo de dados em bruto.

A nova API Microsoft 365 Defender de Transmissão em Fluxo inclui eventos de e-mail e de alerta, além dos eventos do dispositivo. Para obter mais informações, consulte a Microsoft 365 Defender de Transmissão em Fluxo.

SIEM API

Quando ativa a integração com as informações de segurança e a gestão de eventos (SIEM), este permite-lhe extrair deteções do Microsoft 365 Defender através da sua solução SIEM ou ao ligar-se diretamente à API REST de deteção. Esta ação ativa a secção detalhes de acesso do conector SIEM com valores pré-preenchidos e é criada uma aplicação no seu inquilino do Azure Active Directory (Azure AD).