Migrera från MDE SIEM-API:et till API:et för Microsoft Defender XDR-aviseringar
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Använd det nya Microsoft Defender XDR-API:et för alla aviseringar
API:et för Microsoft Defender XDR-aviseringar, som släpps till offentlig förhandsversion i MS Graph, är det officiella och rekommenderade API:et för kunder som migrerar från SIEM-API:et. Med det här API:et kan kunder arbeta med aviseringar i alla Microsoft Defender XDR produkter med hjälp av en enda integrering. Vi förväntar oss att det nya API:et når allmän tillgänglighet (GA) under första kvartalet 2023.
SIEM-API:et blev inaktuellt den 31 december 2023. Den förklaras vara "inaktuell", men inte "pensionerad". Det innebär att SIEM-API:et fortsätter att fungera för befintliga kunder fram till det här datumet. Efter utfasningsdatumet fortsätter SIEM-API:et att vara tillgängligt, men det stöds bara för säkerhetsrelaterade korrigeringar.
Från och med den 31 december 2024, tre år efter det ursprungliga utfasningsmeddelandet, förbehåller vi oss rätten att stänga av SIEM-API:et utan ytterligare meddelande.
Mer information om de nya API:erna finns i bloggmeddelandet: De nya Microsoft Defender XDR-API:erna i Microsoft Graph är nu tillgängliga i offentlig förhandsversion!
API-dokumentation: Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph
Om du är en kund som använder SIEM-API:et rekommenderar vi starkt att du planerar och utför migreringen. Den här artikeln innehåller information om de alternativ som är tillgängliga för migrering till en funktion som stöds:
Dra MDE aviseringar till ett externt system (SIEM/SOAR).
Anropa API:et för Microsoft Defender XDR-aviseringar direkt.
Läs mer om de nya Microsoft Defender XDR-aviseringarna och incident-API:et
Hämta Defender för Endpoint-aviseringar till ett externt system
Om du hämtar Defender för Endpoint-aviseringar till ett externt system finns det flera alternativ som stöds för att ge organisationer flexibiliteten att arbeta med valfri lösning:
Microsoft Sentinel är en skalbar, molnbaserad, SIEM- och säkerhetsorkestreringslösning, automatisering och svarslösning (SOAR). Levererar intelligent säkerhetsanalys och hotinformation i hela företaget, vilket ger en enda lösning för identifiering av attacker, hotsynlighet, proaktiv jakt och hotsvar. Med Microsoft Defender XDR-anslutningsappen kan kunderna enkelt dra in alla sina incidenter och aviseringar från alla Microsoft Defender XDR produkter. Mer information om integrering finns i Microsoft Defender XDR integrering med Microsoft Sentinel.
IBM Security QRadar SIEM ger centraliserad synlighet och intelligent säkerhetsanalys för att identifiera och förhindra att hot och sårbarheter stör verksamheten. QRadar SIEM-teamet har just meddelat lanseringen av en ny DSM som är integrerad med det nya api:et Microsoft Defender XDR aviseringar för att hämta Microsoft Defender för Endpoint aviseringar. Nya kunder är välkomna att dra nytta av den nya DSM vid lanseringen. Läs mer om den nya DSM och hur du enkelt migrerar till den på Microsoft Defender XDR – IBM-dokumentation.
Splunk SOAR hjälper kunder att orkestrera arbetsflöden och automatisera uppgifter på några sekunder för att arbeta smartare och svara snabbare. Splunk SOAR är integrerat med de nya Microsoft Defender XDR-API:erna, inklusive aviserings-API:et. Mer information finns i Microsoft Defender XDR | Splunkbase
Andra integreringar listas i Tekniska partner i Microsoft Defender XDR, eller kontakta siem/SOAR-providern för att lära dig mer om integreringar som de tillhandahåller.
Anropa API:et för Microsoft Defender XDR-aviseringar direkt
Tabellen nedan innehåller en mappning mellan SIEM-API:et till API:et för Microsoft Defender XDR-aviseringar:
| SIEM API-egenskap | Mappning | Microsoft Defender XDR aviserings-API-egenskap |
|---|---|---|
AlertTime |
-> | createdDateTime |
ComputerDnsName |
-> | evidence/deviceEvidence: deviceDnsName |
AlertTitle |
-> | title |
Category |
-> | category |
Severity |
-> | severity |
AlertId |
-> | id |
Actor |
-> | actorDisplayName |
LinkToWDATP |
-> | alertWebUrl |
IocName |
X | IoC-fält stöds inte |
IocValue |
X | IoC-fält stöds inte |
CreatorIocName |
X | IoC-fält stöds inte |
CreatorIocValue |
X | IoC-fält stöds inte |
Sha1 |
-> | evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1) |
FileName |
-> | evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName) |
FilePath |
-> | evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath) |
IPAddress |
-> | evidence/ipEvidence: ipAddress |
URL |
-> | evidence/urlEvidence: url |
IoaDefinitionId |
-> | detectorId |
UserName |
-> | evidence/userEvidence/userAccount: accountName |
AlertPart |
X | Föråldrad (Defender för Endpoint-aviseringar är atomiska/fullständiga som är uppdateringsbara, medan SIEM-API:et var oföränderliga identifieringsposter) |
FullId |
X | IoC-fält stöds inte |
LastProcessedTimeUtc |
-> | lastActivityDateTime |
ThreatCategory |
-> | mitreTechniques [] |
ThreatFamilyName |
-> | threatFamilyName |
ThreatName |
-> | threatDisplayName |
RemediationAction |
-> | evidence: remediationStatus |
RemediationIsSuccess |
-> | evidence: remediationStatus (implied) |
Source |
-> | detectionSource (use with serviceSource: microsoftDefenderForEndpoint) |
Md5 |
X | Stöds inte |
Sha256 |
-> | evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256) |
WasExecutingWhileDetected |
-> | evidence/processEvidence: detectionStatus |
UserDomain |
-> | evidence/userEvidence/userAccount: domainName |
LogOnUsers |
-> | evidence/deviceEvidence: loggedOnUsers [] |
MachineDomain |
-> | Ingår i evidence/deviceEvidence: deviceDnsName |
MachineName |
-> | Ingår i evidence/deviceEvidence: deviceDnsName |
InternalIPV4List |
X | Stöds inte |
InternalIPV6List |
X | Stöds inte |
FileHash |
-> | Använd sha1 eller sha256 |
DeviceID |
-> | evidence/deviceEvidence: mdeDeviceId |
MachineGroup |
-> | evidence/deviceEvidence: rbacGroupName |
Description |
-> | description |
DeviceCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CloudCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CommandLine |
-> | evidence/processEvidence: processCommandLine |
IncidentLinkToWDATP |
-> | incidentWebUrl |
ReportId |
X | Föråldrad (Defender för Endpoint-aviseringar är atomiska/fullständiga som är uppdateringsbara, medan SIEM-API:et var oföränderliga identifieringsposter) |
LinkToMTP |
-> | alertWebUrl |
IncidentLinkToMTP |
-> | incidentWebUrl |
ExternalId |
X | Föråldrade |
IocUniqueId |
X | IoC-fält stöds inte |
Mata in aviseringar med hjälp av SIEM-verktyg (security information and events management)
Obs!
Microsoft Defender för Endpoint Avisering består av en eller flera misstänkta eller skadliga händelser som inträffat på enheten och deras relaterade information. API:et Microsoft Defender för Endpoint Alert är det senaste API:et för aviseringsförbrukning och innehåller en detaljerad lista över relaterade bevis för varje avisering. Mer information finns i Aviseringsmetoder och egenskaper och Listaviseringar.
Microsoft Defender för Endpoint stöder SIEM-verktyg (säkerhetsinformation och händelsehantering) som matar in information från företagsklientorganisationen i Microsoft Entra ID med hjälp av OAuth 2.0-autentiseringsprotokollet för en registrerad Microsoft Entra program som representerar den specifika SIEM-lösningen eller anslutningsappen som är installerad i din miljö.
Mer information finns i:
- licens och användningsvillkor för Microsoft Defender för Endpoint API:er
- Få åtkomst till Microsoft Defender för Endpoint API
- Hello World exempel (beskriver hur du registrerar ett program i Microsoft Entra ID)
- Få åtkomst med programsammanhang
- Microsoft Defender XDR SIEM-integrering
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för