Migrowanie z interfejsu API SIEM rozwiązania MDE do interfejsu API alertów Microsoft Defender XDR

Dotyczy:

Użyj nowego interfejsu API Microsoft Defender XDR dla wszystkich alertów

Interfejs API alertów Microsoft Defender XDR, wydany w publicznej wersji zapoznawczej w programie MS Graph, jest oficjalnym i zalecanym interfejsem API dla klientów migrujących z interfejsu API SIEM. Ten interfejs API umożliwia klientom pracę z alertami we wszystkich produktach Microsoft Defender XDR przy użyciu jednej integracji. Oczekujemy, że nowy interfejs API osiągnie ogólną dostępność do I kwartału 2023 r.

Interfejs API SIEM został przestarzały 31 grudnia 2023 r. Jest zadeklarowany jako "przestarzały", ale nie "wycofany". Oznacza to, że do tej daty interfejs API SIEM nadal działa dla istniejących klientów. Po dacie wycofania interfejs API SIEM będzie nadal dostępny, ale będzie obsługiwany tylko w przypadku poprawek związanych z zabezpieczeniami.

Od 31 grudnia 2024 r., trzy lata po pierwotnym ogłoszeniu o wycofaniu, zastrzegamy sobie prawo do wyłączenia interfejsu API SIEM bez dalszych powiadomień.

Aby uzyskać dodatkowe informacje o nowych interfejsach API, zobacz ogłoszenie w blogu: Nowe interfejsy API Microsoft Defender XDR w programie Microsoft Graph są teraz dostępne w publicznej wersji zapoznawczej!

Dokumentacja interfejsu API: używanie interfejsu API zabezpieczeń programu Microsoft Graph — Microsoft Graph

Jeśli jesteś klientem korzystającym z interfejsu API SIEM, zdecydowanie zalecamy planowanie i wykonywanie migracji. Ten artykuł zawiera informacje o dostępnych opcjach migracji do obsługiwanej funkcji:

  1. Ściąganie alertów MDE do systemu zewnętrznego (SIEM/SOAR).

  2. Bezpośrednie wywoływanie interfejsu API alertów Microsoft Defender XDR.

Przeczytaj o nowym interfejsie API alertów Microsoft Defender XDR i zdarzeń

Ściąganie alertów usługi Defender for Endpoint do systemu zewnętrznego

Jeśli ściągasz alerty usługi Defender for Endpoint do systemu zewnętrznego, istnieje kilka obsługiwanych opcji zapewniających organizacjom elastyczność pracy z wybranym rozwiązaniem:

  1. Microsoft Sentinel to skalowalne, natywne dla chmury rozwiązanie Aranżacja, automatyzacja i reagowanie na rozwiązania SIEM i zabezpieczeń (SOAR). Zapewnia inteligentną analizę zabezpieczeń i analizę zagrożeń w całym przedsiębiorstwie, zapewniając jedno rozwiązanie do wykrywania ataków, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia. Łącznik Microsoft Defender XDR umożliwia klientom łatwe ściąganie wszystkich zdarzeń i alertów ze wszystkich produktów Microsoft Defender XDR. Aby dowiedzieć się więcej na temat integracji, zobacz Microsoft Defender XDR integracji z usługą Microsoft Sentinel.

  2. IBM Security QRadar Rozwiązanie SIEM zapewnia scentralizowany wgląd i inteligentną analizę zabezpieczeń w celu identyfikowania zagrożeń i luk w zabezpieczeniach przed zakłócaniem operacji biznesowych oraz zapobiegania im. Zespół QRadar SIEM właśnie ogłosił wydanie nowej maszyny DSM zintegrowanej z nowym interfejsem API alertów Microsoft Defender XDR w celu ściągania alertów Ochrona punktu końcowego w usłudze Microsoft Defender. Nowi klienci mogą korzystać z nowej usługi DSM po wydaniu. Dowiedz się więcej o nowej maszynie DSM i sposobie łatwej migracji do niej w witrynie Microsoft Defender XDR — DOKUMENTACJA IBM.

  3. Splunk SOAR pomaga klientom organizować przepływy pracy i automatyzować zadania w ciągu kilku sekund, aby pracować inteligentniej i szybciej reagować. Splunk SOAR jest zintegrowany z nowymi interfejsami API Microsoft Defender XDR, w tym interfejsem API alertów. Aby uzyskać więcej informacji, zobacz Microsoft Defender XDR | Splunkbase

Inne integracje są wymienione w temacie Partnerzy technologiczni Microsoft Defender XDR lub skontaktuj się z dostawcą SIEM/SOAR, aby dowiedzieć się więcej o zapewnianych integracjach.

Bezpośrednie wywoływanie interfejsu API alertów Microsoft Defender XDR

Poniższa tabela zawiera mapowanie interfejsu API SIEM na interfejs API alertów Microsoft Defender XDR:

Właściwość interfejsu API SIEM Mapowania właściwość interfejsu API alertu Microsoft Defender XDR
AlertTime -> createdDateTime
ComputerDnsName -> evidence/deviceEvidence: deviceDnsName
AlertTitle -> title
Category -> category
Severity -> severity
AlertId -> id
Actor -> actorDisplayName
LinkToWDATP -> alertWebUrl
IocName X Pola IoC nie są obsługiwane
IocValue X Pola IoC nie są obsługiwane
CreatorIocName X Pola IoC nie są obsługiwane
CreatorIocValue X Pola IoC nie są obsługiwane
Sha1 -> evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1)
FileName -> evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName)
FilePath -> evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath)
IPAddress -> evidence/ipEvidence: ipAddress
URL -> evidence/urlEvidence: url
IoaDefinitionId -> detectorId
UserName -> evidence/userEvidence/userAccount: accountName
AlertPart X Przestarzałe (alerty usługi Defender dla punktów końcowych są niepodzielne/kompletne, które można aktualizować, podczas gdy interfejs API SIEM był niezmiennym rekordem wykrywania)
FullId X Pola IoC nie są obsługiwane
LastProcessedTimeUtc -> lastActivityDateTime
ThreatCategory -> mitreTechniques []
ThreatFamilyName -> threatFamilyName
ThreatName -> threatDisplayName
RemediationAction -> evidence: remediationStatus
RemediationIsSuccess -> evidence: remediationStatus (implied)
Source -> detectionSource (use with serviceSource: microsoftDefenderForEndpoint)
Md5 X Nieobsługiwane
Sha256 -> evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256)
WasExecutingWhileDetected -> evidence/processEvidence: detectionStatus
UserDomain -> evidence/userEvidence/userAccount: domainName
LogOnUsers -> evidence/deviceEvidence: loggedOnUsers []
MachineDomain -> Uwzględnione w evidence/deviceEvidence: deviceDnsName
MachineName -> Uwzględnione w evidence/deviceEvidence: deviceDnsName
InternalIPV4List X Nieobsługiwane
InternalIPV6List X Nieobsługiwane
FileHash -> Użyj lub sha1sha256
DeviceID -> evidence/deviceEvidence: mdeDeviceId
MachineGroup -> evidence/deviceEvidence: rbacGroupName
Description -> description
DeviceCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CloudCreatedMachineTags -> evidence: tags [] (for deviceEvidence)
CommandLine -> evidence/processEvidence: processCommandLine
IncidentLinkToWDATP -> incidentWebUrl
ReportId X Przestarzałe (alerty usługi Defender dla punktów końcowych są niepodzielne/kompletne, które można aktualizować, podczas gdy interfejs API SIEM był niezmiennym rekordem wykrywania)
LinkToMTP -> alertWebUrl
IncidentLinkToMTP -> incidentWebUrl
ExternalId X Przestarzałe
IocUniqueId X Pola IoC nie są obsługiwane

Pozyskiwanie alertów przy użyciu narzędzi do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM)

Uwaga

Ochrona punktu końcowego w usłudze Microsoft Defender Alert składa się z jednego lub kilku podejrzanych lub złośliwych zdarzeń, które wystąpiły na urządzeniu, i powiązanych z nimi szczegółów. Interfejs API alertów Ochrona punktu końcowego w usłudze Microsoft Defender jest najnowszym interfejsem API do użycia alertów i zawiera szczegółową listę powiązanych dowodów dla każdego alertu. Aby uzyskać więcej informacji, zobacz Metody alertów i właściwości oraz Lista alertów.

Ochrona punktu końcowego w usłudze Microsoft Defender obsługuje narzędzia do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) pozyskujące informacje z dzierżawy przedsiębiorstwa w Tożsamość Microsoft Entra przy użyciu protokołu uwierzytelniania OAuth 2.0 dla zarejestrowanego Microsoft Entra aplikacja reprezentująca określone rozwiązanie SIEM lub łącznik zainstalowany w środowisku.

Więcej informacji można znaleźć w następujących artykułach:

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.