管理と API の概要

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

Defender for Endpoint では、お客様がプラットフォームを簡単に採用できるように、さまざまなオプションがサポートされています。

お客様の環境と構造が異なる可能性があることを認識し、Defender for Endpoint は、さまざまな顧客の要件に合わせて柔軟性ときめ細かい制御を使用して作成されました。

エンドポイントオンボードとポータル アクセス

デバイス オンボードは、クライアント デバイスのMicrosoft Configuration ManagerとMicrosoft Intuneとサーバー デバイスのMicrosoft Defenderに完全に統合され、構成、展開、監視の完全なエンドツーエンド エクスペリエンスを提供します。 さらに、Microsoft Defender for Endpointでは、デバイス管理に使用されるグループ ポリシーやその他のサード パーティ製ツールもサポートされています。

Defender for Endpoint では、ロールベースのアクセス制御 (RBAC) の柔軟性を利用して、ポータルへのアクセス権を持つユーザーが表示および実行できる内容をきめ細かく制御できます。 RBAC モデルでは、セキュリティ チーム構造のすべての種類がサポートされています。

  • グローバルに分散された組織とセキュリティ チーム
  • 階層化されたモデルセキュリティ運用チーム
  • 1 つの一元化されたグローバル セキュリティ運用チームを使用して、完全に分離された部門

使用可能な API

Microsoft Defender for Endpoint ソリューションは、統合対応プラットフォームに基づいて構築されています。

Defender for Endpoint は、一連のプログラム API を通じて、そのデータとアクションの多くを公開します。 これらの API を使用すると、Defender for Endpoint 機能に基づいてワークフローを自動化し、イノベーションを行うことができます。

Microsoft Defender for Endpointで使用可能な API と統合

Defender for Endpoint API は、次の 3 つにグループ化できます。

  • Microsoft Defender for Endpoint API
  • 生データ ストリーミング API
  • SIEM 統合

Microsoft Defender for Endpoint API

Defender for Endpoint は、構造化された明確で使いやすいモデルでデータと機能を公開する階層化された API モデルを提供します。これは、ユーザーまたは SaaS アプリケーションのコンテキストでアクセスを許可する標準の Azure AD ベースの認証および承認モデルを介して公開されます。 API モデルは、エンティティと機能を一貫した形式で公開するように設計されています。

Defender for Endpoint の API の概要については、このビデオをご覧ください。

調査 API では、Defender for Endpoint の豊富さを公開します。通常はエンティティに関連する動作を記述する計算済みエンティティまたは "プロファイル済み" エンティティ (デバイス、ユーザー、ファイルなど) と個別のイベント (プロセスの作成やファイルの作成など) を公開し、調査インターフェイスを介したデータへのアクセスを可能にし、クエリベースのデータへのアクセスを許可します。 詳細については、「 サポートされている API」を参照してください。

Response API では、サービスとデバイスでアクションを実行する機能が公開されており、ユーザーがインジケーターを取り込み、設定、アラートの状態を管理したり、デバイスをネットワークから分離したり、検疫ファイルなどの応答アクションをプログラムで実行したりできます。

生データ ストリーミング API

Defender for Endpoint 生データ ストリーミング API を使用すると、お客様は、1 つのデータ ストリーム内で発生したリアルタイムのイベントとアラートをインスタンスから出荷でき、待機時間が短く、スループットの高い配信メカニズムが提供されます。

Defender for Endpoint イベント情報は、長期的なデータ保持のために Azure Storage に直接プッシュされるか、視覚化サービスまたは追加のデータ処理エンジンによって使用するためにAzure Event Hubsされます。

詳細については、「 生データ ストリーミング API」を参照してください。

新しいMicrosoft Defender XDR ストリーミング API には、デバイス イベントに加えて、電子メール イベントとアラート イベントが含まれています。 詳細については、「Microsoft Defender XDR ストリーミング API」を参照してください。

SIEM API

セキュリティ情報とイベント管理 (SIEM) 統合を有効にすると、SIEM ソリューションを使用するか、検出 REST API に直接接続することで、Microsoft Defender XDRから検出をプルできます。 これにより、事前に設定された値を使用して SIEM コネクタアクセスの詳細セクションがアクティブになり、アプリケーションがMicrosoft Entra テナントの下に作成されます。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。