Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A transição do agente SIEM do Defender for Cloud Apps legado para as APIs suportadas permite o acesso contínuo a atividades melhoradas e dados de alertas. Embora as APIs possam não ter mapeamentos um-para-um exatos para o esquema ceF (Common Event Format) legado, fornecem dados abrangentes e melhorados através da integração em várias cargas de trabalho Microsoft Defender.
APIs recomendadas para migração
Para garantir a continuidade e o acesso aos dados atualmente disponíveis através de Microsoft Defender for Cloud Apps agentes SIEM, recomendamos a transição para as seguintes APIs suportadas:
- Para alertas e atividades, veja: Microsoft Defender XDR API de Transmissão em Fluxo.
- Para Microsoft Entra ID Protection eventos de início de sessão, veja IdentityLogonEvents table (Tabela IdentityLogonEvents) no esquema de investigação avançado.
- Para a API de Alertas de Segurança do Microsoft Graph, veja: Listar alerts_v2
- Para ver Microsoft Defender for Cloud Apps dados de alertas na API de incidentes de Microsoft Defender XDR, veja apIs de incidentes de Microsoft Defender XDR e o tipo de recurso incidentes
Mapeamento de Campos do SIEM Legado para APIs Suportadas
A tabela abaixo compara os campos CEF do agente SIEM legados com os campos equivalentes mais próximos na API de Transmissão em Fluxo Defender XDR (esquema de eventos de investigação avançada) e na API de Alertas de Segurança do Microsoft Graph.
| Campo CEF (MDA SIEM) | Descrição | Defender XDR API de Transmissão em Fluxo (CloudAppEvents/AlertEvidence/AlertInfo) | Graph Security Alerts API (v2) (API de Alertas de Segurança do Graph [v2]) |
|---|---|---|---|
start |
Carimbo de data/hora da atividade ou do alerta | Timestamp |
firstActivityDateTime |
end |
Carimbo de data/hora da atividade ou do alerta | Nenhum | lastActivityDateTime |
rt |
Carimbo de data/hora da atividade ou do alerta | createdDateTime |
createdDateTime / lastUpdateDateTime / resolvedDateTime |
msg |
Descrição de alerta ou atividade, conforme mostrado no portal num formato legível por humanos | Os campos estruturados mais próximos que contribuem para uma descrição semelhante: actorDisplayName, ObjectName, , ActionType, ActivityType |
description |
suser |
Utilizador do assunto da atividade ou do alerta |
AccountObjectId, AccountId, AccountDisplayName |
Ver userEvidence tipo de recurso |
destinationServiceName |
Atividade ou alerta da aplicação de origem (por exemplo, SharePoint, Box) | CloudAppEvents > Application |
Ver cloudApplicationEvidence tipo de recurso |
cs<X>Label, cs<X> |
Campos dinâmicos de alerta ou atividade (por exemplo, utilizador de destino, objeto) |
Entities, Evidence, additionalData, ActivityObjects |
Vários alertEvidence tipos de recursos |
EVENT_CATEGORY_* |
Categoria de atividade de alto nível | ActivityType / ActionType |
category |
<name> |
Nome da política correspondente |
Title, alertPolicyId |
Title, alertPolicyId |
<ACTION> (Atividades) |
Tipo de atividade específico | ActionType |
N/D |
externalId (Atividades) |
ID do Evento | ReportId |
N/D |
requestClientApplication (atividades) |
Agente de utilizador do dispositivo cliente em atividades | UserAgent |
N/D |
Dvc (atividades) |
IP do dispositivo cliente | IPAddress |
N/D |
externalId (Alerta) |
ID do Alerta | AlertId |
id |
<alert type> |
Tipo de alerta (por exemplo, ALERT_CABINET_EVENT_MATCH_AUDI) | - | - |
Src
/
c6a1 (alertas) |
IP de origem | IPAddress |
ipEvidence tipo de recurso |