Hallinnan ja ohjelmointirajapintojen tarkastelu
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Defender for Endpoint tukee monenlaisia vaihtoehtoja sen varmistamiseksi, että asiakkaat voivat helposti ottaa ympäristön käyttöön.
Vaikka asiakasympäristöt ja -rakenteet voivat vaihdella, Defender for Endpoint luotiin joustavasti ja rakeisesti, jotta se sopisi vaihteleville asiakasvaatimuksille.
Päätepisteiden käyttöönotto ja portaalin käyttö
Laitteiden perehdytys on täysin integroitu Microsoft Configuration Manager ja Microsoft Intune asiakaslaitteille ja Microsoft Defender palvelinlaitteille, mikä tarjoaa täydellisen kokemuksen määrittämisestä, käyttöönotosta ja valvonnasta päästä päähän. Lisäksi Microsoft Defender for Endpoint tukee ryhmäkäytäntö ja muita kolmannen osapuolen työkaluja, joita käytetään laitteiden hallintaan.
Defender for Endpoint tarjoaa tarkan hallinnan siihen, mitä käyttäjät, joilla on portaalin käyttöoikeus, voivat nähdä ja tehdä roolipohjaisen käytön valvonnan (RBAC) joustavuuden kautta. RBAC-malli tukee kaikkia suojaustiimien rakenteen makuja:
- Maailmanlaajuisesti hajautetut organisaatiot ja suojaustiimit
- Tasoihin tasoitetun mallin suojaustoimintojen tiimit
- Täysin eritellyt jakolinjat, joissa on yksittäisiä keskitettyjä maailmanlaajuisia suojaustoimintoryhmiä
Käytettävissä olevat ohjelmointirajapinnat
Microsoft Defender for Endpoint ratkaisu perustuu integrointivalmiiseen ympäristöön.
Defender for Endpoint paljastaa suuren osan tiedoistaan ja toiminnoistaan ohjelmallisten ohjelmointirajapintojen avulla. Näiden ohjelmointirajapintojen avulla voit automatisoida työnkulkuja ja innovoida Defender for Endpoint -ominaisuuksien perusteella.
Defender for Endpoint -ohjelmointirajapinnat voidaan ryhmitellä kolmeen:
- Microsoft Defender for Endpoint ohjelmointirajapinnat
- Raakatietojen suoratoiston ohjelmointirajapinta
- SIEM-integrointi
Microsoft Defender for Endpoint ohjelmointirajapinnat
Defender for Endpoint tarjoaa kerrostetun ohjelmointirajapintamallin, joka näyttää tiedot ja ominaisuudet jäsennellyssä, selkeässä ja helppokäyttöisessa mallissa, joka on alttiina vakiomuotoisessa Azure AD todentamis- ja valtuutusmallissa, joka mahdollistaa käytön käyttäjien tai SaaS-sovellusten kontekstissa. Ohjelmointirajapintamalli on suunniteltu paljastamaan entiteetit ja ominaisuudet yhdenmukaisessa muodossa.
Katso tästä videosta lyhyt yleiskatsaus Defender for Endpointin ohjelmointirajapinnoista.
Investigation-ohjelmointirajapinta paljastaa Defender for Endpointin rikkauden eli laskettujen tai profiloitujen entiteettien (esimerkiksi laitteen, käyttäjän ja tiedoston) ja erillisten tapahtumien (esimerkiksi prosessin luomisen ja tiedostojen luomisen) rikkauden. Ne kuvaavat yleensä entiteettiin liittyvää toimintaa, joka mahdollistaa tietojen käytön tutkimuskäyttöliittymän kautta ja mahdollistaa kyselypohjaisen pääsyn tietoihin. Lisätietoja on kohdassa Tuetut ohjelmointirajapinnat.
Vastauksen ohjelmointirajapinta tarjoaa mahdollisuuden suorittaa toimintoja palvelussa ja laitteissa, jotta asiakkaat voivat käyttää ilmaisimia, hallita asetuksia, ilmoituksen tilaa sekä suorittaa reagointitoimintoja laitteissa ohjelmallisesti, kuten eristää laitteita verkosta, karanteenitiedostoja ja muita.
Raakatietojen suoratoiston ohjelmointirajapinta
Defender for Endpointin raakatietojen suoratoiston ohjelmointirajapinta tarjoaa asiakkaille mahdollisuuden lähettää reaaliaikaisia tapahtumia ja hälytyksiä esiintymistään, kun ne tapahtuvat yksittäisessä tietovirrassa, mikä tarjoaa pienen viiveen ja suuren siirtonopeuden toimitusmekanismin.
Defender for Endpoint -tapahtumatiedot lähetetään suoraan Azure-tallennustilaan tietojen pitkäaikaista säilytystä varten tai Azuren tapahtumatoimintoihin visualisointipalvelujen tai muiden tietojenkäsittelymoottorien kulutukseen.
Lisätietoja on kohdassa Raakatietojen virtauttamisen ohjelmointirajapinta.
Uusi Microsoft Defender XDR suoratoiston ohjelmointirajapinta sisältää laitteen tapahtumien lisäksi sähköposti- ja ilmoitustapahtumia. Lisätietoja on kohdassa Microsoft Defender XDR suoratoiston ohjelmointirajapinta.
SIEM-ohjelmointirajapinta
Kun otat suojaustietojen ja tapahtumienhallinnan (SIEM) integroinnin käyttöön, voit noutaa tunnistuksia Microsoft Defender XDR käyttämällä SIEM-ratkaisuasi tai muodostamalla yhteyden suoraan tunnistusten REST-ohjelmointirajapintaan. Tämä aktivoi SIEM-liittimen tietojen osion, jossa on valmiiksi täytetyt arvot, ja sovellus luodaan Microsoft Entra vuokraajassasi.
Aiheeseen liittyvät artikkelit
- Käytä Microsoft Defender for Endpoint -ohjelmointirajapintoja
- Tuetut ohjelmointirajapinnat
- Teknisen kumppanin mahdollisuudet
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle