Обзор управления и интерфейсов APIOverview of management and APIs

Область применения:Applies to:

Хотите испытать Defender для конечной точки?Want to experience Defender for Endpoint? Зарегистрився для бесплатной пробной.Sign up for a free trial.

Defender for Endpoint поддерживает широкий спектр параметров, чтобы клиенты могли легко принять платформу.Defender for Endpoint supports a wide variety of options to ensure that customers can easily adopt the platform.

Признавая, что клиентские среды и структуры могут отличаться, Defender for Endpoint был создан с гибкостью и детализацией, чтобы соответствовать различным требованиям клиента.Acknowledging that customer environments and structures can vary, Defender for Endpoint was created with flexibility and granular control to fit varying customer requirements.

Вход в конечную точку и доступ к порталуEndpoint onboarding and portal access

Встроенное устройство полностью интегрировано в Microsoft Endpoint Manager и Microsoft Intune для клиентских устройств и Azure Defender для серверных устройств, обеспечивая полный комплексный опыт настройки, развертывания и мониторинга.Device onboarding is fully integrated into Microsoft Endpoint Manager and Microsoft Intune for client devices and Azure Defender for server devices, providing complete end-to-end experience of configuration, deployment, and monitoring. Кроме того, Microsoft Defender для конечной точки поддерживает групповую политику и другие сторонние средства, используемые для управления устройствами.In addition, Microsoft Defender for Endpoint supports Group Policy and other third-party tools used for devices management.

Defender for Endpoint обеспечивает тонкий контроль над тем, что пользователи с доступом к порталу могут видеть и делать с помощью гибкости управления доступом на основе ролей (RBAC).Defender for Endpoint provides fine-grained control over what users with access to the portal can see and do through the flexibility of role-based access control (RBAC). Модель RBAC поддерживает все вкусы структуры групп безопасности:The RBAC model supports all flavors of security teams structure:

  • Глобально распределенные организации и группы безопасностиGlobally distributed organizations and security teams
  • Многоуровневые группы операций по безопасности моделиTiered model security operations teams
  • Полностью сегрегация подразделений с одними централизованными группами глобальных операций безопасностиFully segregated divisions with single centralized global security operations teams

Доступные APIAvailable APIs

Решение Microsoft Defender для конечной точки построено на платформе, готовой к интеграции.The Microsoft Defender for Endpoint solution is built on top of an integration-ready platform.

Defender for Endpoint предоставляет большую часть своих данных и действий с помощью набора программных API.Defender for Endpoint exposes much of its data and actions through a set of programmatic APIs. Эти API позволят автоматизировать рабочий процесс и инновациям на основе возможностей Defender для конечных точек.Those APIs will enable you to automate workflows and innovate based on Defender for Endpoint capabilities.

Изображение доступных API и интеграции в Microsoft Defender для конечной точки

API Defender для конечных точек можно сгруппить на три:The Defender for Endpoint APIs can be grouped into three:

  • Microsoft Defender для API конечных точекMicrosoft Defender for Endpoint APIs
  • API потоковой передачи необработанных данныхRaw data streaming API
  • Интеграция SIEMSIEM integration

Microsoft Defender для API конечных точекMicrosoft Defender for Endpoint APIs

Defender for Endpoint предлагает многоуровневую модель API, которая предоставляет данные и возможности в структурированной, понятной и простой в использовании модели, выставленной через стандартную модель проверки подлинности и авторизации на основе Azure AD, позволяющую получать доступ в контексте пользователей или приложений SaaS.Defender for Endpoint offers a layered API model exposing data and capabilities in a structured, clear, and easy to use model, exposed through a standard Azure AD-based authentication and authorization model allowing access in context of users or SaaS applications. Модель API предназначена для последовательного использования сущностями и возможностями.The API model was designed to expose entities and capabilities in a consistent form.

Просмотрите это видео для краткого обзора API Defender для API endpoint.Watch this video for a quick overview of Defender for Endpoint's APIs.

API исследования предоставляет богатство Defender для конечной точки — разоблачение вычисляемого или "профилного" сущностей (например, устройств, пользователей и файлов) и дискретных событий (например, создания процессов и создания файлов), которые обычно описывают поведение, связанное с объектом, позволяя доступ к данным с помощью интерфейсов расследования, позволяющих получать доступ к данным на основе запросов.The Investigation API exposes the richness of Defender for Endpoint - exposing calculated or 'profiled' entities (for example, device, user, and file) and discrete events (for example, process creation and file creation) which typically describes a behavior related to an entity, enabling access to data via investigation interfaces allowing a query-based access to data. Дополнительные сведения см. в поддерживаемых API.For more information, see Supported APIs.

API ответа предоставляет возможность выполнять действия в службе и на устройствах, позволяя клиентам гнать индикаторы, управлять настройками, состоянием оповещения, а также принимать меры реагирования на устройствах программным образом, таких как изолирование устройств от сети, файлы карантина и другие.The Response API exposes the ability to take actions in the service and on devices, enabling customers to ingest indicators, manage settings, alert status, as well as take response actions on devices programmatically such as isolate devices from the network, quarantine files, and others.

API потоковой передачи необработанных данныхRaw data streaming API

API потоковой передачи необработанных данных Defender для конечных точек предоставляет клиентам возможность отгрузки событий и оповещений в режиме реального времени из своих экземпляров по мере их возникновения в едином потоке данных, обеспечивая низкую задержку и механизм доставки высокой пропускной способности.Defender for Endpoint raw data streaming API provides the ability for customers to ship real-time events and alerts from their instances as they occur within a single data stream, providing a low latency, high throughput delivery mechanism.

Сведения о событиях Defender for Endpoint перенадвигаются непосредственно в хранилище Azure для долгосрочного хранения данных или в центры событий Azure для использования службами визуализации или дополнительными двигателями обработки данных.The Defender for Endpoint event information is pushed directly to Azure storage for long-term data retention, or to Azure Event Hubs for consumption by visualization services or additional data processing engines.

Дополнительные сведения см. в API потоковой передачи необработанных данных.For more information, see Raw data streaming API.

Новый API потокового Microsoft 365 Defender включает события электронной почты и оповещения, а также события устройств.The new Microsoft 365 Defender Streaming API includes email and alert events in addition to device events. Дополнительные сведения см. в Microsoft 365 API потоковой передачи Defender.For more information, see Microsoft 365 Defender Streaming API.

SIEM APISIEM API

При включении интеграции сведений о безопасности и управления событиями (SIEM) это позволяет извлекть обнаружения из Центр безопасности в Microsoft Defender с помощью решения SIEM или напрямую подключаясь к API REST обнаружения.When you enable security information and event management (SIEM) integration, it allows you to pull detections from Microsoft Defender Security Center using your SIEM solution or by connecting directly to the detections REST API. Это активирует раздел сведений о доступе к соединителем SIEM с предварительно заселяемыми значениями, и приложение создается под вашим клиентом Azure Active Directory Azure AD.This activates the SIEM connector access details section with pre-populated values and an application is created under your Azure Active Directory (Azure AD) tenant. Дополнительные сведения см. в см. в деле интеграции SIEM.For more information, see SIEM integration.