Migrace z rozhraní MDE SIEM API na rozhraní API pro upozornění Microsoft Defender XDR

  • Článek

Platí pro:

Použití nového rozhraní MICROSOFT DEFENDER XDR API pro všechna upozornění

Rozhraní API pro upozornění Microsoft Defender XDR vydané ve verzi Public Preview v MS Graphu je oficiálním a doporučeným rozhraním API pro zákazníky, kteří migrují z rozhraní SIEM API. Toto rozhraní API umožňuje zákazníkům pracovat s upozorněními napříč všemi produkty Microsoft Defender XDR pomocí jediné integrace. Očekáváme, že nové rozhraní API dosáhne obecné dostupnosti (GA) do 1. čtvrtletí 2023.

Rozhraní SIEM API bylo vyřazeno 31. prosince 2023. Je deklarován jako "zastaralý", ale ne "vyřazený". To znamená, že až do tohoto data bude rozhraní SIEM API dál fungovat pro stávající zákazníky. Po datu vyřazení bude rozhraní API SIEM dál dostupné, ale bude podporováno pouze pro opravy související se zabezpečením.

S platností od 31. prosince 2024, tři roky po původním oznámení o vyřazení, si vyhrazujeme právo vypnout rozhraní SIEM API bez dalšího upozornění.

Další informace o nových rozhraních API najdete v oznámení blogu: Nová rozhraní API Microsoft Defender XDR v Microsoft Graphu jsou teď dostupná ve verzi Public Preview!

Dokumentace k rozhraní API: Použití rozhraní Microsoft Graph Security API – Microsoft Graph

Pokud jste zákazník, který používá rozhraní SIEM API, důrazně doporučujeme naplánovat a spustit migraci. Tento článek obsahuje informace o dostupných možnostech migrace na podporovanou funkci:

  1. Načítání MDE výstrah do externího systému (SIEM/SOAR).

  2. Přímé volání rozhraní API pro upozornění Microsoft Defender XDR

Přečtěte si o novém rozhraní API pro výstrahy a incidenty Microsoft Defender XDR.

Vyžádání upozornění Defenderu for Endpoint do externího systému

Pokud přetahujete upozornění Defenderu for Endpoint do externího systému, existuje několik podporovaných možností, jak organizacím poskytnout flexibilitu při práci s řešením podle jejich výběru:

  1. Microsoft Sentinel je škálovatelné řešení SOAR (SIEM) a orchestrace, automatizace a reakce zabezpečení (SOAR) nativní pro cloud. Poskytuje inteligentní analýzy zabezpečení a analýzu hrozeb v celém podniku a poskytuje jedno řešení pro detekci útoků, viditelnost hrozeb, proaktivní proaktivní proaktivní vyhledávání a reakci na hrozby. Konektor Microsoft Defender XDR umožňuje zákazníkům snadno získat všechny incidenty a výstrahy ze všech Microsoft Defender XDR produktů. Další informace o integraci najdete v tématu Microsoft Defender XDR integrace se službou Microsoft Sentinel.

  2. IBM Security QRadar SIEM poskytuje centralizovaný přehled a inteligentní analýzy zabezpečení, které identifikují a zabraňují hrozbám a ohrožením zabezpečení, aby narušily obchodní operace. Tým QRadar SIEM právě oznámil vydání nového DSM, který je integrovaný s novým rozhraním API pro upozornění Microsoft Defender XDR pro vyžádání Microsoft Defender for Endpoint výstrah. Noví zákazníci můžou při vydání využít výhod nového DSM. Další informace o novém DSM a o tom, jak na něj snadno migrovat, najdete v Microsoft Defender XDR – Dokumentace IBM.

  3. Splunk SOAR pomáhá zákazníkům orchestrovat pracovní postupy a automatizovat úlohy v řádu sekund, aby mohli pracovat chytřeji a rychleji reagovat. Splunk SOAR je integrovaný s novými rozhraními API Microsoft Defender XDR, včetně rozhraní API pro upozornění. Další informace najdete v tématu Microsoft Defender XDR | Splunkbase

Další integrace jsou uvedené v části Technologickí partneři Microsoft Defender XDR nebo se obraťte na svého poskytovatele SIEM nebo SOAR, aby se dozvěděli o integracích, které poskytují.

Přímé volání rozhraní API pro upozornění Microsoft Defender XDR

Následující tabulka obsahuje mapování mezi rozhraním API SIEM na rozhraní API pro upozornění Microsoft Defender XDR:

Vlastnost rozhraní SIEM API Mapování vlastnost rozhraní API pro upozornění Microsoft Defender XDR
AlertTime -> createdDateTime
ComputerDnsName -> evidence/deviceEvidence: deviceDnsName
AlertTitle -> title
Category -> category
Severity -> severity
AlertId -> id
Actor -> actorDisplayName
LinkToWDATP -> alertWebUrl
IocName X Nepodporovaná pole IoC
IocValue X Nepodporovaná pole IoC
CreatorIocName X Nepodporovaná pole IoC
CreatorIocValue X Nepodporovaná pole IoC
Sha1 -> evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName -> evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath -> evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress -> evidence/ipEvidence: ipAddress
URL -> evidence/urlEvidence: url
IoaDefinitionId -> detectorId
UserName -> evidence/userEvidence/userAccount: accountName
AlertPart X Zastaralé (upozornění Defenderu for Endpoint jsou atomická nebo úplná a dají se aktualizovat, zatímco rozhraní API SIEM bylo neměnné záznamy detekce)
FullId X Nepodporovaná pole IoC
LastProcessedTimeUtc -> lastActivityDateTime
ThreatCategory -> mitreTechniques []
ThreatFamilyName -> threatFamilyName
ThreatName -> threatDisplayName
RemediationAction -> evidence: remediationStatus
RemediationIsSuccess -> evidence: remediationStatus (implied)
Source -> detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5 X Není podporováno
Sha256 -> evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected -> evidence/processEvidence: detectionStatus
UserDomain -> evidence/userEvidence/userAccount: domainName
LogOnUsers -> evidence/deviceEvidence: loggedOnUsers []
MachineDomain -> Zahrnuto v evidence/deviceEvidence: deviceDnsName
MachineName -> Zahrnuto v evidence/deviceEvidence: deviceDnsName
InternalIPV4List X Není podporováno
InternalIPV6List X Není podporováno
FileHash -> Použít sha1 nebo sha256
DeviceID -> evidence/deviceEvidence: mdeDeviceId
MachineGroup -> evidence/deviceEvidence: rbacGroupName
Description -> description
DeviceCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CommandLine -> evidence/processEvidence: processCommandLine
IncidentLinkToWDATP -> incidentWebUrl
ReportId X Zastaralé (upozornění Defenderu for Endpoint jsou atomická nebo úplná a dají se aktualizovat, zatímco rozhraní API SIEM bylo neměnné záznamy detekce)
LinkToMTP -> alertWebUrl
IncidentLinkToMTP -> incidentWebUrl
ExternalId X Zastaralé
IocUniqueId X Nepodporovaná pole IoC

Ingestování výstrah pomocí nástrojů pro správu událostí a informací o zabezpečení (SIEM)

Poznámka

Microsoft Defender for Endpoint Výstraha se skládá z jedné nebo několika podezřelých nebo škodlivých událostí, ke kterým došlo na zařízení, a jejich souvisejících podrobností. Rozhraní API pro výstrahy Microsoft Defender for Endpoint je nejnovějším rozhraním API pro použití upozornění a obsahuje podrobný seznam souvisejících důkazů pro každou výstrahu. Další informace najdete v tématech Metody a vlastnosti upozornění aVypsat výstrahy.

Microsoft Defender for Endpoint podporuje nástroje pro správu událostí a informací zabezpečení (SIEM), které ingestují informace z podnikového tenanta v Microsoft Entra ID pomocí ověřovacího protokolu OAuth 2.0 pro zaregistrovaný Microsoft Entra aplikace představující konkrétní řešení nebo konektor SIEM nainstalovaný ve vašem prostředí.

Další informace najdete tady:

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.