共用方式為

從 Defender for Cloud Apps SIEM 代理程式移轉至支援的 API

從舊版 Defender for Cloud Apps SIEM 代理程式轉換為支援的 API,可讓您持續存取擴充的活動和警示數據。 雖然 API 可能沒有與舊版 Common Event Format (CEF) 架構完全相同的一對一對應,但它們會透過跨多個 Microsoft Defender 工作負載的整合來提供全方位、增強的數據。

若要確保目前可透過 Microsoft Defender for Cloud Apps SIEM 代理程式存取資料的持續性和存取,建議您轉換為下列支援的 API:

從舊版 SIEM 到支援的 API 的欄位對應

下表比較舊版 SIEM 代理程式的 CEF 欄位與 Defender 全面偵測回應 串流 API (進階搜捕事件架構) 和 Microsoft Graph 安全性警示 API 中最接近的對等字段。

MDA SIEM (CEF 欄位) 描述 Defender 全面偵測回應 串流 API (CloudAppEvents/AlertEvidence/AlertInfo) Graph 安全性警示 API (v2)
start 活動或警示時間戳 Timestamp firstActivityDateTime
end 活動或警示時間戳 lastActivityDateTime
rt 活動或警示時間戳 createdDateTime createdDateTime / lastUpdateDateTime / resolvedDateTime
msg 如入口網站中以人類可讀取的格式顯示的警示或活動描述 產生類似描述的最接近結構化欄位:actorDisplayName、、ObjectNameActionTypeActivityType description
suser 活動或警示主體使用者 AccountObjectId, AccountId, AccountDisplayName 請參閱 userEvidence 資源類型
destinationServiceName 來自原始應用程式的活動或警示 (例如 SharePoint、Box) CloudAppEvents > Application 請參閱 cloudApplicationEvidence 資源類型
cs<X>Label, cs<X> 警示或活動動態欄位 (例如,目標用戶、物件) Entities, Evidence, additionalData, ActivityObjects 各種 alertEvidence 資源類型
EVENT_CATEGORY_* 高階活動類別 ActivityType / ActionType category
<name> 相符的原則名稱 Title, alertPolicyId Title, alertPolicyId
<ACTION> (活動) 特定活動類型 ActionType 不適用
externalId (活動) 事件識別碼 ReportId 不適用
requestClientApplication (活動) 活動中用戶端裝置的使用者代理程式 UserAgent 不適用
Dvc (活動) 用戶端裝置IP IPAddress 不適用
externalId (警示) 警示標識碼 AlertId id
<alert type> 警示類型 (例如,ALERT_CABINET_EVENT_MATCH_AUDI) - -
Src / c6a1 (警示) 來源 IP IPAddress ipEvidence 資源類型

相關內容

  • Last updated on