Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Als u overstapt van de verouderde Defender for Cloud Apps SIEM-agent naar ondersteunde API's, kunt u doorlopend toegang krijgen tot verrijkte activiteiten en waarschuwingen. Hoewel de API's mogelijk geen exacte een-op-een-toewijzingen hebben aan het verouderde CEF-schema (Common Event Format), bieden ze uitgebreide, verbeterde gegevens door integratie tussen meerdere Microsoft Defender workloads.
Aanbevolen API's voor migratie
Voor continuïteit en toegang tot gegevens die momenteel beschikbaar zijn via Microsoft Defender for Cloud Apps SIEM-agents, raden we u aan over te stappen op de volgende ondersteunde API's:
- Zie voor waarschuwingen en activiteiten: Microsoft Defender XDR Streaming-API.
- Zie de tabel IdentityLogonEvents in het geavanceerde opsporingsschema voor Microsoft Entra Id-beveiliging aanmeldingsevenementen.
- Zie Lijst met alerts_v2 voor de API voor Microsoft Graph-beveiligingswaarschuwingen
- Zie Microsoft Defender XDR incidenten-API's en het resourcetype incidenten om Microsoft Defender for Cloud Apps waarschuwingsgegevens weer te geven in de API voor Microsoft Defender XDR-incidenten
Veldtoewijzing van verouderde SIEM naar ondersteunde API's
In de onderstaande tabel worden de CEF-velden van de verouderde SIEM-agent vergeleken met de dichtstbijzijnde equivalente velden in de Defender XDR Streaming API (advanced hunting event schema) en de Microsoft Graph Security Alerts API.
| CEF-veld (MDA SIEM) | Beschrijving | Defender XDR Streaming-API (CloudAppEvents/AlertEvidence/AlertInfo) | Graph Security Alerts API (v2) |
|---|---|---|---|
start |
Tijdstempel van activiteit of waarschuwing | Timestamp |
firstActivityDateTime |
end |
Tijdstempel van activiteit of waarschuwing | Geen | lastActivityDateTime |
rt |
Tijdstempel van activiteit of waarschuwing | createdDateTime |
createdDateTime / lastUpdateDateTime / resolvedDateTime |
msg |
Beschrijving van waarschuwing of activiteit zoals weergegeven in de portal in een door mensen leesbare indeling | De dichtstbijzijnde gestructureerde velden die bijdragen aan een vergelijkbare beschrijving: actorDisplayName, ObjectName, ActionType, , ActivityType |
description |
suser |
Gebruiker van activiteit of waarschuwingsonderwerp |
AccountObjectId, AccountId, AccountDisplayName |
Resourcetype weergeven userEvidence |
destinationServiceName |
Activiteit of waarschuwing van de oorspronkelijke app (bijvoorbeeld SharePoint, Box) | CloudAppEvents > Application |
Resourcetype weergeven cloudApplicationEvidence |
cs<X>Label, cs<X> |
Dynamische velden waarschuwing of activiteit (bijvoorbeeld doelgebruiker, object) |
Entities, Evidence, additionalData, ActivityObjects |
Verschillende alertEvidence resourcetypen |
EVENT_CATEGORY_* |
Activiteitscategorie op hoog niveau | ActivityType / ActionType |
category |
<name> |
Overeenkomende beleidsnaam |
Title, alertPolicyId |
Title, alertPolicyId |
<ACTION> (Activiteiten) |
Type specifieke activiteit | ActionType |
N.v.t. |
externalId (Activiteiten) |
Gebeurtenis-id | ReportId |
N.v.t. |
requestClientApplication (activiteiten) |
Gebruikersagent van het clientapparaat in activiteiten | UserAgent |
N.v.t. |
Dvc (activiteiten) |
IP-adres van clientapparaat | IPAddress |
N.v.t. |
externalId (Waarschuwing) |
Waarschuwings-id | AlertId |
id |
<alert type> |
Waarschuwingstype (bijvoorbeeld ALERT_CABINET_EVENT_MATCH_AUDI) | - | - |
Src
/
c6a1 (waarschuwingen) |
Bron-IP | IPAddress |
ipEvidence resourcetype |