Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La transition de l’agent SIEM Defender for Cloud Apps hérité vers les API prises en charge permet un accès continu aux activités enrichies et aux données d’alertes. Bien que les API n’aient pas de mappages un-à-un exact au schéma CEF (Common Event Format) hérité, elles fournissent des données complètes et améliorées grâce à l’intégration entre plusieurs charges de travail Microsoft Defender.
API recommandées pour la migration
Pour garantir la continuité et l’accès aux données actuellement disponibles via Microsoft Defender for Cloud Apps agents SIEM, nous vous recommandons de passer aux API prises en charge suivantes :
- Pour les alertes et les activités, consultez : API de streaming Microsoft Defender XDR.
- Pour Protection Microsoft Entra ID les événements d’ouverture de session, consultez la table IdentityLogonEvents dans le schéma de repérage avancé.
- Pour l’API Alertes de sécurité Microsoft Graph, consultez : Lister les alerts_v2
- Pour afficher Microsoft Defender for Cloud Apps données d’alertes dans l’API Microsoft Defender XDR incidents, consultez API d’incidents Microsoft Defender XDR et le type de ressource incidents
Mappage de champs de siem hérité aux API prises en charge
Le tableau ci-dessous compare les champs CEF de l’agent SIEM hérité aux champs équivalents les plus proches dans l’API Defender XDR Streaming (schéma d’événement de repérage avancé) et l’API Alertes de sécurité Microsoft Graph.
| Champ CEF (MDA SIEM) | Description | API de streaming Defender XDR (CloudAppEvents/AlertEvidence/AlertInfo) | API Alertes de sécurité Graph (v2) |
|---|---|---|---|
start |
Horodatage de l’activité ou de l’alerte | Timestamp |
firstActivityDateTime |
end |
Horodatage de l’activité ou de l’alerte | Aucun | lastActivityDateTime |
rt |
Horodatage de l’activité ou de l’alerte | createdDateTime |
createdDateTime / lastUpdateDateTime / resolvedDateTime |
msg |
Description de l’alerte ou de l’activité, comme indiqué dans le portail dans un format lisible par l’utilisateur | Champs structurés les plus proches qui contribuent à une description similaire : actorDisplayName, ObjectName, ActionType, ActivityType |
description |
suser |
Utilisateur du sujet de l’activité ou de l’alerte |
AccountObjectId, AccountId, AccountDisplayName |
Voir le userEvidence type de ressource |
destinationServiceName |
Activité ou alerte de l’application d’origine (par exemple, SharePoint, Box) | CloudAppEvents > Application |
Voir le cloudApplicationEvidence type de ressource |
cs<X>Label, cs<X> |
Champs dynamiques d’alerte ou d’activité (par exemple, utilisateur cible, objet) |
Entities, Evidence, additionalData, ActivityObjects |
Différents alertEvidence types de ressources |
EVENT_CATEGORY_* |
Catégorie d’activité de haut niveau | ActivityType / ActionType |
category |
<name> |
Nom de stratégie correspondant |
Title, alertPolicyId |
Title, alertPolicyId |
<ACTION> (Activités) |
Type d’activité spécifique | ActionType |
S/O |
externalId (Activités) |
ID d’événement | ReportId |
S/O |
requestClientApplication (activités) |
Agent utilisateur de l’appareil client dans les activités | UserAgent |
S/O |
Dvc (activités) |
Adresse IP de l’appareil client | IPAddress |
S/O |
externalId (Alerte) |
ID d’alerte | AlertId |
id |
<alert type> |
Type d’alerte (par exemple, ALERT_CABINET_EVENT_MATCH_AUDI) | - | - |
Src
/
c6a1 (alertes) |
IP source | IPAddress |
ipEvidence type de ressource |