Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Übergang vom Legacy-Defender for Cloud Apps SIEM-Agent zu unterstützten APIs ermöglicht den kontinuierlichen Zugriff auf angereicherte Aktivitäten und Warnungsdaten. Obwohl die APIs möglicherweise keine exakten 1:1-Zuordnungen zum älteren CEF-Schema (Common Event Format) aufweisen, bieten sie umfassende, erweiterte Daten durch die Integration über mehrere Microsoft Defender Workloads hinweg.
Empfohlene APIs für die Migration
Um Kontinuität und Zugriff auf Daten zu gewährleisten, die derzeit über Microsoft Defender for Cloud Apps SIEM-Agents verfügbar sind, empfehlen wir den Übergang zu den folgenden unterstützten APIs:
- Warnungen und Aktivitäten finden Sie unter Microsoft Defender XDR Streaming-API.
- Informationen zu Microsoft Entra ID Protection Anmeldeereignissen finden Sie in der Tabelle IdentityLogonEvents im Schema für die erweiterte Suche.
- Informationen zur Microsoft Graph-Sicherheitswarnungs-API finden Sie unter Auflisten alerts_v2
- Informationen zum Anzeigen von Microsoft Defender for Cloud Apps Warnungsdaten in der Microsoft Defender XDR-Incidents-API finden Sie unter apIs für Microsoft Defender XDR Incidents und den Ressourcentyp incidents.
Feldzuordnung von Legacy-SIEM zu unterstützten APIs
In der folgenden Tabelle werden die CEF-Felder des Legacy-SIEM-Agents mit den nächstgelegenen entsprechenden Feldern in der Defender XDR Streaming-API (Erweitertes Huntingereignisschema) und der Microsoft Graph-Sicherheitswarnungs-API verglichen.
| CEF-Feld (MDA SIEM) | Beschreibung | Defender XDR Streaming-API (CloudAppEvents/AlertEvidence/AlertInfo) | Graph-Sicherheitswarnungs-API (v2) |
|---|---|---|---|
start |
Aktivitäts- oder Warnungszeitstempel | Timestamp |
firstActivityDateTime |
end |
Aktivitäts- oder Warnungszeitstempel | Keine | lastActivityDateTime |
rt |
Aktivitäts- oder Warnungszeitstempel | createdDateTime |
createdDateTime / lastUpdateDateTime / resolvedDateTime |
msg |
Warnungs- oder Aktivitätsbeschreibung wie im Portal in einem lesbaren Format | Die nächstgelegenen strukturierten Felder, die zu einer ähnlichen Beschreibung beitragen: actorDisplayName, ObjectName, ActionType, , ActivityType |
description |
suser |
Benutzer des Aktivitäts- oder Warnungsthemas |
AccountObjectId, AccountId, AccountDisplayName |
Weitere Informationen finden Sie unter userEvidence Ressourcentyp. |
destinationServiceName |
Aktivität oder Warnung von der ursprünglichen App (z. B. SharePoint, Box) | CloudAppEvents > Application |
Weitere Informationen finden Sie unter cloudApplicationEvidence Ressourcentyp. |
cs<X>Label, cs<X> |
Warnungs- oder Aktivitätsfelder (z. B. Zielbenutzer, Objekt) |
Entities, Evidence, additionalData, ActivityObjects |
Verschiedene alertEvidence Ressourcentypen |
EVENT_CATEGORY_* |
Allgemeine Aktivitätskategorie | ActivityType / ActionType |
category |
<name> |
Übereinstimmender Richtlinienname |
Title, alertPolicyId |
Title, alertPolicyId |
<ACTION> (Aktivitäten) |
Spezifischer Aktivitätstyp | ActionType |
Nicht zutreffend |
externalId (Aktivitäten) |
Ereignis-ID | ReportId |
Nicht zutreffend |
requestClientApplication (Aktivitäten) |
Benutzer-Agent des Clientgeräts in Aktivitäten | UserAgent |
Nicht zutreffend |
Dvc (Aktivitäten) |
IP-Adresse des Clientgeräts | IPAddress |
Nicht zutreffend |
externalId (Warnung) |
Warnungs-ID | AlertId |
id |
<alert type> |
Warnungstyp (z. B. ALERT_CABINET_EVENT_MATCH_AUDI) | - | - |
Src
/
c6a1 (Warnungen) |
Quell-IP | IPAddress |
ipEvidence Ressourcentyp |