Overzicht van beheer en API's

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Defender voor Eindpunt ondersteunt een breed scala aan opties om ervoor te zorgen dat klanten het platform eenvoudig kunnen gebruiken.

Om te bevestigen dat omgevingen en structuren van klanten kunnen variëren, is Defender voor Eindpunt gemaakt met flexibiliteit en gedetailleerd beheer om te voldoen aan verschillende klantvereisten.

Onboarding van eindpunten en portaltoegang

Onboarding van apparaten is volledig geïntegreerd in Microsoft Configuration Manager en Microsoft Intune voor clientapparaten en Microsoft Defender voor serverapparaten, wat volledige end-to-end-ervaring biedt voor configuratie, implementatie en bewaking. Daarnaast ondersteunt Microsoft Defender voor Eindpunt groepsbeleid en andere hulpprogramma's van derden die worden gebruikt voor het beheer van apparaten.

Defender voor Eindpunt biedt gedetailleerde controle over wat gebruikers met toegang tot de portal kunnen zien en doen via de flexibiliteit van op rollen gebaseerd toegangsbeheer (RBAC). Het RBAC-model ondersteunt alle varianten van de structuur van beveiligingsteams:

  • Wereldwijd gedistribueerde organisaties en beveiligingsteams
  • Teams voor gelaagde modelbeveiligingsbewerkingen
  • Volledig gescheiden afdelingen met één gecentraliseerde wereldwijde beveiligingsteams

Beschikbare API's

De Microsoft Defender voor Eindpunt-oplossing is gebouwd op een integratieplatform.

Defender voor Eindpunt maakt veel van de gegevens en acties beschikbaar via een set programmatische API's. Met deze API's kunt u werkstromen automatiseren en innoveren op basis van de mogelijkheden van Defender for Endpoint.

De beschikbare API en integratie in Microsoft Defender voor Eindpunt

De Defender voor Eindpunt-API's kunnen worden gegroepeerd in drie:

  • Microsoft Defender voor Eindpunt-API's
  • API voor onbewerkte voor gegevensstreaming
  • SIEM-integratie

Microsoft Defender voor Eindpunt-API's

Defender voor Eindpunt biedt een gelaagd API-model dat gegevens en mogelijkheden beschikbaar maakt in een gestructureerd, duidelijk en gebruiksvriendelijk model, beschikbaar via een standaard Azure AD verificatie- en autorisatiemodel dat toegang biedt in de context van gebruikers of SaaS-toepassingen. Het API-model is ontworpen om entiteiten en mogelijkheden in een consistente vorm beschikbaar te maken.

Bekijk deze video voor een kort overzicht van de API's van Defender for Endpoint.

De Onderzoeks-API maakt de rijkdom van Defender voor Eindpunt zichtbaar: berekende of 'geprofileerde' entiteiten (bijvoorbeeld apparaat, gebruiker en bestand) en discrete gebeurtenissen (bijvoorbeeld procesaanmaak en het maken van bestanden) die doorgaans een gedrag beschrijven met betrekking tot een entiteit, waardoor toegang tot gegevens mogelijk wordt gemaakt via onderzoekinterfaces, waardoor op query's gebaseerde toegang tot gegevens mogelijk is. Zie Ondersteunde API's voor meer informatie.

De Antwoord-API biedt de mogelijkheid om acties uit te voeren in de service en op apparaten, waardoor klanten indicatoren kunnen opnemen, instellingen kunnen beheren, de waarschuwingsstatus kunnen beheren en actie kunnen ondernemen op apparaten die programmatisch reageren, zoals apparaten isoleren van het netwerk, quarantainebestanden en andere.

API voor onbewerkte voor gegevensstreaming

De API voor het streamen van onbewerkte gegevens van Defender voor Eindpunt biedt klanten de mogelijkheid om realtime gebeurtenissen en waarschuwingen van hun exemplaren te verzenden wanneer deze zich voordoen binnen één gegevensstroom, wat een leveringsmechanisme met lage latentie en hoge doorvoer biedt.

De gebeurtenisgegevens van Defender voor Eindpunt worden rechtstreeks naar Azure Storage gepusht voor langetermijnretentie van gegevens of naar Azure Event Hubs voor gebruik door visualisatieservices of aanvullende gegevensverwerkingsengines.

Zie Api voor het streamen van onbewerkte gegevens voor meer informatie.

De nieuwe Microsoft Defender XDR Streaming-API bevat naast apparaatevenementen ook e-mail- en waarschuwingsevenementen. Zie Microsoft Defender XDR Streaming-API voor meer informatie.

SIEM API

Wanneer u SIEM-integratie (Security Information and Event Management) inschakelt, kunt u hiermee detecties ophalen uit Microsoft Defender XDR met behulp van uw SIEM-oplossing of door rechtstreeks verbinding te maken met de REST API voor detecties. Hiermee activeert u de sectie toegangsdetails van de SIEM-connector met vooraf ingevulde waarden en wordt er een toepassing gemaakt onder uw Microsoft Entra tenant.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.