Migración de la API SIEM de MDE a la API de alertas de Microsoft Defender XDR

Se aplica a:

Uso de la nueva API de Microsoft Defender XDR para todas las alertas

La API de alertas de Microsoft Defender XDR, publicada en versión preliminar pública en MS Graph, es la API oficial y recomendada para los clientes que migran desde la API SIEM. Esta API permite a los clientes trabajar con alertas en todos los productos Microsoft Defender XDR mediante una única integración. Esperamos que la nueva API alcance la disponibilidad general (GA) para el primer trimestre de 2023.

La API SIEM quedó en desuso el 31 de diciembre de 2023. Se declara como "en desuso", pero no "retirado". Esto significa que hasta esta fecha, la API SIEM sigue funcionando para los clientes existentes. Después de la fecha de desuso, la API SIEM seguirá estando disponible, pero solo se admitirá para correcciones relacionadas con la seguridad.

A partir del 31 de diciembre de 2024, tres años después del anuncio de desuso original, nos reservamos el derecho de desactivar la API SIEM, sin previo aviso.

Para obtener más información sobre las nuevas API, consulte el anuncio de blog: Las nuevas API de Microsoft Defender XDR de Microsoft Graph ya están disponibles en versión preliminar pública.

Documentación de la API: Uso de la API de seguridad de Microsoft Graph: Microsoft Graph

Si es un cliente que usa la API SIEM, se recomienda planear y ejecutar la migración. En este artículo se incluye información sobre las opciones disponibles para migrar a una funcionalidad compatible:

  1. Extracción de alertas de MDE en un sistema externo (SIEM/SOAR).

  2. Llamar a la API de alertas de Microsoft Defender XDR directamente.

Obtenga información sobre la nueva API de alertas e incidentes de Microsoft Defender XDR

Extracción de alertas de Defender para punto de conexión en un sistema externo

Si va a extraer alertas de Defender para punto de conexión en un sistema externo, hay varias opciones admitidas para proporcionar a las organizaciones la flexibilidad necesaria para trabajar con la solución que prefieran:

  1. Microsoft Sentinel es una solución de orquestación, automatización y respuesta (SOAR) escalable, nativa de la nube, SIEM y seguridad. Ofrece análisis de seguridad inteligente e inteligencia sobre amenazas en toda la empresa, lo que proporciona una única solución para la detección de ataques, la visibilidad de amenazas, la búsqueda proactiva y la respuesta a amenazas. El conector Microsoft Defender XDR permite a los clientes extraer fácilmente todos sus incidentes y alertas de todos los productos Microsoft Defender XDR. Para más información sobre la integración, consulte Microsoft Defender XDR integración con Microsoft Sentinel.

  2. IBM Security QRadar SIEM proporciona visibilidad centralizada y análisis de seguridad inteligentes para identificar y evitar que las amenazas y vulnerabilidades interrumpan las operaciones empresariales. El equipo de SIEM de QRadar acaba de anunciar el lanzamiento de un nuevo DSM que se integra con la nueva API de alertas de Microsoft Defender XDR para extraer Microsoft Defender para punto de conexión alertas. Los nuevos clientes pueden aprovechar el nuevo DSM tras su lanzamiento. Obtenga más información sobre el nuevo DSM y cómo migrar fácilmente a él en Microsoft Defender XDR - Documentación de IBM.

  3. Splunk SOAR ayuda a los clientes a organizar flujos de trabajo y automatizar las tareas en segundos para trabajar de forma más inteligente y responder más rápido. Splunk SOAR se integra con las nuevas API de Microsoft Defender XDR, incluida la API de alertas. Para obtener más información, vea Microsoft Defender XDR | Splunkbase

Otras integraciones aparecen en Socios tecnológicos de Microsoft Defender XDR, o póngase en contacto con su proveedor SIEM/SOAR para obtener información sobre las integraciones que proporcionan.

Llamar directamente a la API de alertas de Microsoft Defender XDR

En la tabla siguiente se proporciona una asignación entre la API SIEM a la API de alertas de Microsoft Defender XDR:

PROPIEDAD DE LA API DE SIEM Asignación Microsoft Defender XDR propiedad de api de alertas
AlertTime -> createdDateTime
ComputerDnsName -> evidence/deviceEvidence: deviceDnsName
AlertTitle -> title
Category -> category
Severity -> severity
AlertId -> id
Actor -> actorDisplayName
LinkToWDATP -> alertWebUrl
IocName X Campos de IoC no admitidos
IocValue X Campos de IoC no admitidos
CreatorIocName X Campos de IoC no admitidos
CreatorIocValue X Campos de IoC no admitidos
Sha1 -> evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName -> evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath -> evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress -> evidence/ipEvidence: ipAddress
URL -> evidence/urlEvidence: url
IoaDefinitionId -> detectorId
UserName -> evidence/userEvidence/userAccount: accountName
AlertPart X Obsoleto (las alertas de Defender para punto de conexión son atómicas o completas que son actualizables, mientras que la API siem eran registros inmutables de detecciones)
FullId X Campos de IoC no admitidos
LastProcessedTimeUtc -> lastActivityDateTime
ThreatCategory -> mitreTechniques []
ThreatFamilyName -> threatFamilyName
ThreatName -> threatDisplayName
RemediationAction -> evidence: remediationStatus
RemediationIsSuccess -> evidence: remediationStatus (implied)
Source -> detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5 X No se admite
Sha256 -> evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected -> evidence/processEvidence: detectionStatus
UserDomain -> evidence/userEvidence/userAccount: domainName
LogOnUsers -> evidence/deviceEvidence: loggedOnUsers []
MachineDomain -> Incluido en evidence/deviceEvidence: deviceDnsName
MachineName -> Incluido en evidence/deviceEvidence: deviceDnsName
InternalIPV4List X No se admite
InternalIPV6List X No se admite
FileHash -> Usar sha1 o sha256
DeviceID -> evidence/deviceEvidence: mdeDeviceId
MachineGroup -> evidence/deviceEvidence: rbacGroupName
Description -> description
DeviceCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CommandLine -> evidence/processEvidence: processCommandLine
IncidentLinkToWDATP -> incidentWebUrl
ReportId X Obsoleto (las alertas de Defender para punto de conexión son atómicas o completas que son actualizables, mientras que la API siem eran registros inmutables de detecciones)
LinkToMTP -> alertWebUrl
IncidentLinkToMTP -> incidentWebUrl
ExternalId X Obsoleto
IocUniqueId X Campos de IoC no admitidos

Ingesta de alertas mediante herramientas de administración de eventos e información de seguridad (SIEM)

Nota:

Microsoft Defender para punto de conexión Alerta se compone de uno o varios eventos sospechosos o malintencionados que se produjeron en el dispositivo y sus detalles relacionados. La API de alertas de Microsoft Defender para punto de conexión es la API más reciente para el consumo de alertas y contiene una lista detallada de pruebas relacionadas para cada alerta. Para obtener más información, vea Métodos y propiedades de alerta y Lista de alertas.

Microsoft Defender para punto de conexión admite herramientas de administración de eventos e información de seguridad (SIEM) que ingieren información del inquilino empresarial en Microsoft Entra ID mediante el protocolo de autenticación de OAuth 2.0 para un Microsoft Entra registrado aplicación que representa la solución siem específica o el conector instalado en el entorno.

Para obtener más información, consulte:

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.