Обзор управления и интерфейсов API
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Defender для конечной точки поддерживает широкий спектр вариантов, чтобы клиенты могли легко внедрить платформу.
Учитывая, что среды и структуры клиентов могут отличаться, Defender для конечной точки был создан с гибкостью и детальным контролем в соответствии с различными требованиями клиентов.
Подключение к конечной точке и доступ к порталу
Подключение устройств полностью интегрировано в Microsoft Configuration Manager и Microsoft Intune для клиентских устройств и Microsoft Defender для серверных устройств, обеспечивая полный комплексный опыт настройки, развертывания и мониторинга. Кроме того, Microsoft Defender для конечной точки поддерживает групповая политика и другие сторонние средства, используемые для управления устройствами.
Defender для конечной точки обеспечивает точный контроль над тем, что пользователи с доступом к порталу могут видеть и делать, благодаря гибкости управления доступом на основе ролей (RBAC). Модель RBAC поддерживает все разновидности структуры групп безопасности:
- Глобально распределенные организации и группы безопасности
- Группы по обеспечению безопасности многоуровневой модели
- Полностью сегрегированные подразделения с едиными централизованными группами по обеспечению безопасности
Доступные API
Решение Microsoft Defender для конечной точки основано на платформе, готовой к интеграции.
Defender для конечной точки предоставляет большую часть своих данных и действий с помощью набора программных API. Эти API-интерфейсы позволяют автоматизировать рабочие процессы и внедрять инновации на основе возможностей Defender для конечной точки.
API Defender для конечной точки можно сгруппировать в три:
- API Microsoft Defender для конечной точки
- API потоковой передачи необработанных данных
- Интеграция SIEM
API Microsoft Defender для конечной точки
Defender для конечной точки предлагает многоуровневую модель API, предоставляющую данные и возможности в структурированной, понятной и простой в использовании модели, предоставляемой через стандартную модель проверки подлинности и авторизации на основе Azure AD, предоставляющую доступ в контексте пользователей или приложений SaaS. Модель API предназначена для предоставления сущностей и возможностей в согласованной форме.
Просмотрите это видео, чтобы просмотреть краткий обзор API Defender для конечной точки.
API исследования предоставляет широкие возможности Defender для конечной точки , предоставляя вычисляемые или профилированные сущности (например, устройства, пользователя и файла) и дискретные события (например, создание процесса и создание файлов), которые обычно описывают поведение, связанное с сущностью, предоставляя доступ к данным через интерфейсы исследования, предоставляющие доступ к данным на основе запросов. Дополнительные сведения см. в разделе Поддерживаемые API.
API ответа предоставляет возможность выполнять действия в службе и на устройствах, позволяя клиентам принимать индикаторы, управлять параметрами, состоянием оповещений, а также выполнять действия по реагированию на устройствах программным способом, например изолировать устройства от сети, помещать в карантин файлы и т. д.
API потоковой передачи необработанных данных
API потоковой передачи необработанных данных Defender для конечной точки позволяет клиентам отправлять события и оповещения в режиме реального времени из своих экземпляров по мере их возникновения в одном потоке данных, обеспечивая механизм доставки с низкой задержкой и высокой пропускной способностью.
Сведения о событиях Defender для конечной точки передаются непосредственно в хранилище Azure для долгосрочного хранения данных или в Центры событий Azure для использования службами визуализации или дополнительными обработчиками обработки данных.
Дополнительные сведения см. в разделе API потоковой передачи необработанных данных.
Новый API потоковой передачи Microsoft Defender XDR включает в себя события электронной почты и оповещений в дополнение к событиям устройства. Дополнительные сведения см. в разделе API потоковой передачи Microsoft Defender XDR.
SIEM API
Включение интеграции с информационной безопасностью и событиями безопасности (SIEM) позволяет извлекать обнаружения из Microsoft Defender XDR с помощью решения SIEM или путем прямого подключения к REST API обнаружения. Это активирует раздел сведений о доступе к соединителю SIEM с предварительно заполненными значениями, и приложение создается в клиенте Microsoft Entra.
Статьи по теме
- Доступ к API Microsoft Defender для конечной точки
- Поддерживаемые API
- Возможности для технических партнеров
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по