Översikt över hantering och API:er
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft 365 Defender
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Defender för Endpoint har stöd för en mängd olika alternativ för att säkerställa att kunderna enkelt kan använda plattformen.
Eftersom kundmiljöer och kundstrukturer kan variera skapades Defender för Endpoint med flexibilitet och detaljerad kontroll för att passa olika kundkrav.
Slutpunkts onboarding och portalåtkomst
Registrering av enheter är helt integrerat i Microsoft Endpoint Manager och Microsoft Intune för klientenheter och Microsoft Defender för serverenheter, med fullständig heltäckande upplevelse av konfiguration, distribution och övervakning. Dessutom har Microsoft Defender för Endpoint stöd för grupprinciper och andra verktyg från tredje part som används för hantering av enheter.
Defender för Endpoint ger mer exakt kontroll över vad användare med åtkomst till portalen kan se och göra genom flexibiliteten hos rollbaserad åtkomstkontroll (RBAC). RBAC-modellen har stöd för alla typer av säkerhetsteamsstruktur:
- Globalt fördelade organisationer och säkerhetsteam
- Team för säkerhetsåtgärder på nivåmodell
- Helt avskiljda avdelningar med en enda centraliserad global säkerhetsgrupp
Tillgängliga API:er
Microsoft Defender för Endpoint-lösningen är uppbyggd på en plattform som är integrationsklar.
Defender för Slutpunkt visar mycket av dess data och åtgärder via en uppsättning programmässiga API:er. De HÄR API:erna gör det möjligt att automatisera arbetsflöden och nya funktioner baserat på Defender för slutpunktsfunktioner.

Defender för slutpunkts-API:er kan grupperas i tre:
- Microsoft Defender för slutpunkts-API:er
- API för direktuppspelning av rådata
- SIEM-integrering
Microsoft Defender för slutpunkts-API:er
Defender för Endpoint erbjuder en API-modell med lager som visar data och funktioner i en strukturerad, tydlig och lättanvänd modell som exponeras via en Azure AD-baserad standardmodell för autentisering och auktorisering som ger åtkomst i samband med användare eller SaaS-program. API-modellen har utformats för att visa enheter och funktioner i en konsekvent form.
Titta på den här videon för en snabb överblick över Defender för Endpoints API:er.
I Undersöknings-API:t visas hur rikt Defender för slutpunkten är – det gör att beräknade eller "profilerade" enheter (till exempel enhet, användare och fil) och olika händelser (till exempel processskapande och skapande av filer) visas, vilket normalt beskriver ett beteende som är relaterat till en entitet, vilket gör att åtkomst till data via undersökningsgränssnitt möjliggör en frågebaserad åtkomst till data. Mer information finns i API:er som stöds.
Med Response API kan du vidta åtgärder i tjänsten och på enheter, vilket gör det möjligt för kunder att mata in indikatorer, hantera inställningar, aviseringsstatus och vidta svarsåtgärder på enheter programmässigt, till exempel isolera enheter från nätverket, karantänfiler och andra.
API för direktuppspelning av rådata
Defender för Endpoints strömnings-API för rådata ger kunder möjlighet att skicka händelser och aviseringar i realtid från sina instanser när de inträffar i en enda dataström, vilket ger en leveransmekanism med låg fördröjning och hög genomflödesleveransmekanism.
Defender för slutpunktshändelseinformation skickas direkt till Azure-lagring för lagring av data långsiktigt eller till Azure Event Hubs för förbrukning av visualiseringstjänster eller ytterligare databehandlingsmotorer.
Mer information finns i Raw Data Streaming API.
Den nya Microsoft 365 Defender Streaming API innehåller e-post- och aviseringshändelser utöver enhetshändelser. Mer information finns i Microsoft 365 Defender Streaming API.
SIEM API
När du aktiverar säkerhetsinformation och händelsehanteringsintegrering (SIEM) kan du hämta identifieringar från Microsoft 365 Defender med din SIEM-lösning eller genom att ansluta direkt till rest api:t för identifieringar. Detta aktiverar informationsavsnittet för SIEM-koppling med ifyllda värden och ett program skapas under Azure Active Directory (Azure AD) klientorganisation.