Siirtyminen MDE SIEM -ohjelmointirajapinnasta Microsoft Defender XDR ilmoitusten ohjelmointirajapintaan

  • Artikkeli

Koskee seuraavia:

Käytä uutta Microsoft Defender XDR-ohjelmointirajapintaa kaikille ilmoituksillesi

MS Graphin julkiseen esikatseluun julkaistu Microsoft Defender XDR ilmoitusten ohjelmointirajapinta on virallinen ja suositeltu ohjelmointirajapinta asiakkaille, jotka muuttavat SIEM-ohjelmointirajapinnasta. Tämän ohjelmointirajapinnan avulla asiakkaat voivat käsitellä ilmoituksia kaikissa Microsoft Defender XDR tuotteissa yhdellä integroinnilla. Uuden ohjelmointirajapinnan odotetaan saavuttavan yleisen saatavuuden (Q1 CY 2023) mennessä.

SIEM-ohjelmointirajapinta poistettiin käytöstä 31.12.2023. Se julistetaan "vanhentuneeksi", mutta ei "eläkkeellä". Tämä tarkoittaa sitä, että tähän päivään asti SIEM-ohjelmointirajapinta toimii edelleen olemassa oleville asiakkaille. Poistopäivämäärän jälkeen SIEM-ohjelmointirajapinta on edelleen käytettävissä, mutta sitä tuetaan vain tietoturvaan liittyvissä korjauksissa.

Voimassa 31.12.2024, kolme vuotta alkuperäisen vanhentumisilmoituksen jälkeen, pidätämme oikeuden poistaa SIEM-ohjelmointirajapinnan käytöstä ilman erillistä ilmoitusta.

Lisätietoja uusista ohjelmointirajapinnoista on blogi-ilmoituksessa: Microsoft Graphin uudet Microsoft Defender XDR -ohjelmointirajapinnat ovat nyt saatavilla julkisessa esikatselussa!

Ohjelmointirajapintadokumentaatio: Microsoft Graphin suojauksen ohjelmointirajapinnan käyttäminen – Microsoft Graph

Jos olet SIEM-ohjelmointirajapintaa käyttävä asiakas, suosittelemme vahvasti siirron suunnittelua ja suorittamista. Tässä artikkelissa on tietoja vaihtoehdoista, jotka ovat käytettävissä tuettuun ominaisuuteen siirtymiseen:

  1. MDE-hälytysten vetäminen ulkoiseen järjestelmään (SIEM/SOAR).

  2. Microsoft Defender XDR ilmoitusten ohjelmointirajapinnan kutsuminen suoraan.

Lue uusista Microsoft Defender XDR hälytyksistä ja tapausten ohjelmointirajapinnasta

Defender for Endpoint -ilmoitusten vastaanottaminen ulkoiseen järjestelmään

Jos vedät Defender for Endpoint -hälytyksiä ulkoiseen järjestelmään, on olemassa useita tuettuja vaihtoehtoja, joiden avulla organisaatiot voivat käyttää valitsemaansa ratkaisua joustavasti:

  1. Microsoft Sentinel on skaalattava, pilvipohjainen SIEM- ja tietoturvaorkestrointi-, automaatio- ja vastausratkaisu (SOAR). Tarjoaa älykästä tietoturva-analytiikkaa ja uhkien hallintaa koko yrityksessä, tarjoten yhden ratkaisun hyökkäyksen havaitsemiseen, uhkien näkyvyyteen, ennakoivaan metsästykseen ja uhkiin vastaamiseen. Microsoft Defender XDR liittimen avulla asiakkaat voivat helposti hakea kaikki tapahtumansa ja ilmoituksensa kaikista Microsoft Defender XDR tuotteista. Lisätietoja integroinnista on artikkelissa Microsoft Defender XDR integrointi Microsoft Sentineliin.

  2. IBM Security QRadar SIEM tarjoaa keskitetyn näkyvyyden ja älykkään suojausanalytiikan, joiden avulla voidaan tunnistaa ja estää uhkia ja haavoittuvuuksia häiritsemästä liiketoimintatoimintoja. QRadar SIEM -tiimi on juuri ilmoittanut julkaisevansa uuden DSM: n, joka on integroitu uuteen Microsoft Defender XDR hälytysten ohjelmointirajapintaan Microsoft Defender for Endpoint hälytysten hakemiseksi. Uudet asiakkaat voivat hyödyntää uutta DSM:a julkaisun yhteydessä. Lue lisätietoja uudesta DSM:stä ja siitä, miten voit siirtyä siihen helposti Microsoft Defender XDR - IBM-dokumentaatiossa.

  3. Splunk SOAR auttaa asiakkaita organisoimaan työnkulkuja ja automatisoimaan tehtäviä sekunteina, jotta ne toimivat älykkäämmin ja reagoivat nopeammin. Splunk SOAR on integroitu uusiin Microsoft Defender XDR ohjelmointirajapintoihin, mukaan lukien hälytysten ohjelmointirajapinta. Lisätietoja on kohdassa Microsoft Defender XDR | Splunkbase

Muut integroinnit on lueteltu Microsoft Defender XDR teknologisissa kumppaneissa tai ota yhteyttä SIEM- tai SOAR-palveluntarjoajaan oppiaksesi heidän tarjoamistaan integroinnista.

Microsoft Defender XDR ilmoitusten ohjelmointirajapinnan kutsuminen suoraan

Alla olevassa taulukossa on siem-ohjelmointirajapinnan yhdistäminen Microsoft Defender XDR ilmoitusten ohjelmointirajapintaan:

SIEM-ohjelmointirajapinnan ominaisuus Kartoitus ilmoituksen ohjelmointirajapinnan ominaisuuden Microsoft Defender XDR
AlertTime -> createdDateTime
ComputerDnsName -> evidence/deviceEvidence: deviceDnsName
AlertTitle -> title
Category -> category
Severity -> severity
AlertId -> id
Actor -> actorDisplayName
LinkToWDATP -> alertWebUrl
IocName X IoC-kenttiä ei tueta
IocValue X IoC-kenttiä ei tueta
CreatorIocName X IoC-kenttiä ei tueta
CreatorIocValue X IoC-kenttiä ei tueta
Sha1 -> evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName -> evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath -> evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress -> evidence/ipEvidence: ipAddress
URL -> evidence/urlEvidence: url
IoaDefinitionId -> detectorId
UserName -> evidence/userEvidence/userAccount: accountName
AlertPart X Vanhentunut (Defender for Endpoint -hälytykset ovat atomisia/täydellisiä, jotka ovat päivitettävissä, kun taas SIEM-ohjelmointirajapinta oli tunnistamistietueiden muuttumaton tietue)
FullId X IoC-kenttiä ei tueta
LastProcessedTimeUtc -> lastActivityDateTime
ThreatCategory -> mitreTechniques []
ThreatFamilyName -> threatFamilyName
ThreatName -> threatDisplayName
RemediationAction -> evidence: remediationStatus
RemediationIsSuccess -> evidence: remediationStatus (implied)
Source -> detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5 X Ei tuettu
Sha256 -> evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected -> evidence/processEvidence: detectionStatus
UserDomain -> evidence/userEvidence/userAccount: domainName
LogOnUsers -> evidence/deviceEvidence: loggedOnUsers []
MachineDomain -> Sisältyy evidence/deviceEvidence: deviceDnsName
MachineName -> Sisältyy evidence/deviceEvidence: deviceDnsName
InternalIPV4List X Ei tuettu
InternalIPV6List X Ei tuettu
FileHash -> Käytä sha1 tai sha256
DeviceID -> evidence/deviceEvidence: mdeDeviceId
MachineGroup -> evidence/deviceEvidence: rbacGroupName
Description -> description
DeviceCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CommandLine -> evidence/processEvidence: processCommandLine
IncidentLinkToWDATP -> incidentWebUrl
ReportId X Vanhentunut (Defender for Endpoint -hälytykset ovat atomisia/täydellisiä, jotka ovat päivitettävissä, kun taas SIEM-ohjelmointirajapinta oli tunnistamistietueiden muuttumaton tietue)
LinkToMTP -> alertWebUrl
IncidentLinkToMTP -> incidentWebUrl
ExternalId X Vanhentunut
IocUniqueId X IoC-kenttiä ei tueta

Hälytysten käyttö suojaustietojen ja tapahtumien hallinnan (SIEM) työkalujen avulla

Huomautus

Microsoft Defender for Endpoint Ilmoitus muodostuu yhdestä tai useammasta epäilyttävästä tai haitallisesta tapahtumasta, joka tapahtui laitteessa, ja niiden liittyvistä tiedoista. ilmoituksen ohjelmointirajapinnan Microsoft Defender for Endpoint on ilmoitusten kulutuksen uusin ohjelmointirajapinta, ja se sisältää yksityiskohtaisen luettelon kunkin ilmoituksen liittyvistä todisteista. Lisätietoja on kohteissa Ilmoitusmenetelmät ja ominaisuudet sekä Luetteloilmoitukset.

Microsoft Defender for Endpoint tukee suojaustietojen ja tapahtumienhallintatyökalujen (SIEM) tietojen käyttöä yrityksen vuokraajasta Microsoft Entra ID OAuth 2.0 -todennusprotokollan avulla rekisteröidylle Microsoft Entra sovellus, joka edustaa tiettyä ympäristössäsi asennettua SIEM-ratkaisua tai liitintä.

Lisätietoja on seuraavissa artikkeleissa:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.