管理和 API 概述

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR

希望体验 Defender for Endpoint？ 注册免费试用版。

Defender for Endpoint 支持多种选项，以确保客户可以轻松采用该平台。

考虑到客户环境和结构可能有所不同，Defender for Endpoint 的创建具有灵活性和精细控制，以满足不同的客户需求。

终结点载入和门户访问

设备载入已完全集成到客户端设备的Microsoft Configuration Manager和Microsoft Intune以及服务器设备的Microsoft Defender中，提供完整的端到端配置、部署和监视体验。 此外，Microsoft Defender for Endpoint支持用于设备管理的组策略和其他第三方工具。

Defender for Endpoint 通过基于角色的访问控制 (RBAC) 的灵活性，对有权访问门户的用户可以看到和执行的操作进行精细控制。 RBAC 模型支持各种安全团队结构：

• 全球分布式组织和安全团队
• 分层模型安全运营团队
• 具有单个集中式全球安全运营团队的完全隔离部门

可用 API

Microsoft Defender for Endpoint解决方案基于集成就绪平台构建。

Defender for Endpoint 通过一组编程 API 公开其大部分数据和操作。 这些 API 使你能够自动执行工作流，并根据 Defender for Endpoint 功能进行创新。

Defender for Endpoint API 可以分为三个：

• Microsoft Defender for Endpoint API
• 原始数据流式处理 API
• SIEM 集成

Microsoft Defender for Endpoint API

Defender for Endpoint 提供分层 API 模型，该模型在结构化、清晰且易于使用的模型中公开数据和功能，该模型通过基于 Azure AD 的标准身份验证和授权模型公开，允许在用户或 SaaS 应用程序的上下文中访问。 API 模型旨在以一致的形式公开实体和功能。

观看此视频，快速了解 Defender for Endpoint 的 API。

调查 API 公开 Defender for Endpoint 的丰富性 - 公开计算实体或“已分析”实体 (例如设备、用户和文件) 以及离散事件 (，例如进程创建和文件创建) 通常描述与实体相关的行为，通过调查接口允许基于查询访问数据。 有关详细信息，请参阅 支持的 API。

响应 API 公开了在服务和设备上执行操作的功能，使客户能够引入指示器、管理设置、警报状态，以及以编程方式对设备执行响应操作，例如将设备与网络隔离、隔离文件等。

原始数据流式处理 API

Defender for Endpoint 原始数据流 API 使客户能够从其实例发送实时事件和警报，因为它们发生在单个数据流中，从而提供低延迟、高吞吐量的传递机制。

Defender for Endpoint 事件信息直接推送到 Azure 存储以长期保留数据，或Azure 事件中心供可视化服务或其他数据处理引擎使用。

有关详细信息，请参阅 原始数据流 API。

除设备事件外，新的Microsoft Defender XDR流式处理 API 还包括电子邮件和警报事件。 有关详细信息，请参阅 Microsoft Defender XDR流式处理 API。

SIEM API

(SIEM) 集成启用安全信息和事件管理时，可以使用 SIEM 解决方案或直接连接到检测 REST API 从Microsoft Defender XDR拉取检测。 这会使用预填充值激活 SIEM 连接器访问详细信息部分，并在Microsoft Entra租户下创建一个应用程序。

相关主题

• 访问 Microsoft Defender for Endpoint API
• 支持的 API
• 技术合作伙伴商机