Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Przejście ze starszej wersji agenta Defender for Cloud Apps SIEM do obsługiwanych interfejsów API umożliwia ciągły dostęp do wzbogaconych działań i danych alertów. Interfejsy API mogą nie mieć dokładnych mapowań jeden do jednego do starszego schematu common event format (CEF), ale zapewniają kompleksowe i ulepszone dane dzięki integracji z wieloma obciążeniami Microsoft Defender.
Zalecane interfejsy API do migracji
Aby zapewnić ciągłość i dostęp do danych obecnie dostępnych za pośrednictwem agentów Microsoft Defender for Cloud Apps SIEM, zalecamy przejście do następujących obsługiwanych interfejsów API:
- Aby uzyskać alerty i działania, zobacz: Microsoft Defender XDR Interfejs API przesyłania strumieniowego.
- Aby uzyskać Ochrona tożsamości Microsoft Entra zdarzeń logowania, zobacz tabelę IdentityLogonEvents w zaawansowanym schemacie wyszukiwania zagrożeń.
- Aby uzyskać informacje o interfejsie API alertów zabezpieczeń programu Microsoft Graph, zobacz: Lista alerts_v2
- Aby wyświetlić dane alertów Microsoft Defender for Cloud Apps w interfejsie API zdarzeń Microsoft Defender XDR, zobacz interfejsy API zdarzeń Microsoft Defender XDR i typ zasobu zdarzeń
Mapowanie pól ze starszego rozwiązania SIEM na obsługiwane interfejsy API
W poniższej tabeli porównaliśmy pola CEF starszego agenta SIEM z najbliższymi polami równoważnymi w interfejsie API przesyłania strumieniowego Defender XDR (zaawansowanym schemacie zdarzeń wyszukiwania zagrożeń) i interfejsie API alertów zabezpieczeń programu Microsoft Graph.
| Pole CEF (MDA SIEM) | Opis | interfejs API przesyłania strumieniowego Defender XDR (CloudAppEvents/AlertEvidence/AlertInfo) | Interfejs API alertów zabezpieczeń programu Graph (wersja 2) |
|---|---|---|---|
start |
Sygnatura czasowa działania lub alertu | Timestamp |
firstActivityDateTime |
end |
Sygnatura czasowa działania lub alertu | Brak | lastActivityDateTime |
rt |
Sygnatura czasowa działania lub alertu | createdDateTime |
createdDateTime / lastUpdateDateTime / resolvedDateTime |
msg |
Opis alertu lub działania, jak pokazano w portalu w formacie czytelnym dla człowieka | Najbliższe pola strukturalne, które współtworzą podobny opis: actorDisplayName, ObjectName, , , ActionTypeActivityType |
description |
suser |
Użytkownik podmiotu aktywności lub alertu |
AccountObjectId, AccountId, AccountDisplayName |
Zobacz userEvidence typ zasobu |
destinationServiceName |
Działanie lub alert z aplikacji źródłowej (na przykład SharePoint, Box) | CloudAppEvents > Application |
Zobacz cloudApplicationEvidence typ zasobu |
cs<X>Label, cs<X> |
Pola dynamiczne alertów lub działań (na przykład użytkownik docelowy, obiekt) |
Entities, Evidence, additionalData, ActivityObjects |
Różne alertEvidence typy zasobów |
EVENT_CATEGORY_* |
Kategoria działań wysokiego poziomu | ActivityType / ActionType |
category |
<name> |
Dopasowana nazwa zasad |
Title, alertPolicyId |
Title, alertPolicyId |
<ACTION> (Działania) |
Określony typ działania | ActionType |
Nie dotyczy |
externalId (Działania) |
Identyfikator zdarzenia | ReportId |
Nie dotyczy |
requestClientApplication (działania) |
Agent użytkownika urządzenia klienckiego w działaniach | UserAgent |
Nie dotyczy |
Dvc (działania) |
Adres IP urządzenia klienckiego | IPAddress |
Nie dotyczy |
externalId (Alert) |
Identyfikator alertu | AlertId |
id |
<alert type> |
Typ alertu (na przykład ALERT_CABINET_EVENT_MATCH_AUDI) | - | - |
Src
/
c6a1 (alerty) |
Źródłowy adres IP | IPAddress |
ipEvidence typ zasobu |