針對所有警示使用新的 Microsoft Defender 全面偵測回應 API
Microsoft Defender 全面偵測回應警示 API 已發行至 MS Graph 中的公開預覽版,是從 SIEM API 移轉的客戶的官方且建議的 API。 此 API 可讓客戶使用單一整合來處理所有 Microsoft Defender 全面偵測回應 產品的警示。 我們預計新的 API 將在 2023 年第一季之前 (正式發行) 全面上市。
SIEM API 已於 2023 年 12 月 31 日淘汰。 它被宣佈為“已棄用”,但未“淘汰”。這意味著在此日期之前,SIEM API 將繼續為現有客戶運行。 在淘汰日期之後,SIEM API 將繼續可用,但僅支援與安全性相關的修正。
自 2024 年 12 月 31 日起,即原始淘汰公告發布三年後,我們保留關閉 SIEM API 的權利,恕不另行通知。
如需新 API 的其他資訊,請參閱部落格公告:Microsoft Graph 中的新 Microsoft Defender 全面偵測回應 API 現在提供公開預覽版!
API 檔: 使用 Microsoft Graph 安全性 API - Microsoft Graph
如果您是使用 SIEM API 的客戶,強烈建議您規劃和執行移轉。 本文包含可用移轉至支援功能的選項相關資訊:
將 MDE 警示提取至 SIEM/SOAR) (外部系統。
直接呼叫 Microsoft Defender 全面偵測回應 警示 API。
閱讀新的 Microsoft Defender 全面偵測回應警示和事件 API
將適用於端點的 Defender 警示提取至外部系統
如果您要將適用於端點的 Defender 警示提取至外部系統,則有數個支援的選項可讓組織彈性地使用其選擇的解決方案:
Microsoft Sentinel 是 SOAR) 解決方案 (可擴展的雲原生 SIEM 和安全編排、自動化和響應解決方案。 在整個企業中提供智慧型安全分析和威脅情報,為攻擊偵測、威脅可見性、主動搜捕和威脅回應提供單一解決方案。 Microsoft Defender 全面偵測回應連接器可讓客戶輕鬆地從所有 Microsoft Defender 全面偵測回應 產品提取所有事件和警示。 若要深入瞭解整合,請參閱 Microsoft Defender 全面偵測回應與 Microsoft Sentinel 整合。
IBM Security QRadar SIEM 提供集中可見性和智慧安全分析,以識別和防止威脅和漏洞擾亂業務營運。 QRadar SIEM 團隊剛剛宣佈發布與新的 Microsoft Defender 全面偵測回應 警報 API 集成的新 DSM,以提取適用於端點的 Microsoft Defender 警報。 歡迎新客戶在發布後利用新的 DSM。 深入瞭解新的 DSM ,以及如何輕鬆移轉至它,請參閱 Microsoft Defender 全面偵測回應 - IBM 文件。
Splunk SOAR 可協助客戶在幾秒鐘內協調工作流程並自動執行任務,從而更聰明地工作並更快地回應。 Splunk SOAR 與新的 Microsoft Defender 全面偵測回應 API 整合,包括警示 API。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應 |Splunkbase
其他整合會列在 Microsoft Defender 全面偵測回應的技術合作夥伴中,或連絡您的 SIEM/SOAR 提供者,以瞭解他們提供的整合。
直接呼叫 Microsoft Defender 全面偵測回應 警示 API
下表提供 SIEM API 與 Microsoft Defender 全面偵測回應警示 API 之間的對應:
| SIEM API 屬性 | 對應 | Microsoft Defender 全面偵測回應警示 API 屬性 |
|---|---|---|
AlertTime |
-> | createdDateTime |
ComputerDnsName |
-> | evidence/deviceEvidence: deviceDnsName |
AlertTitle |
-> | title |
Category |
-> | category |
Severity |
-> | severity |
AlertId |
-> | id |
Actor |
-> | actorDisplayName |
LinkToWDATP |
-> | alertWebUrl |
IocName |
X | 不支援 IoC 欄位 |
IocValue |
X | 不支援 IoC 欄位 |
CreatorIocName |
X | 不支援 IoC 欄位 |
CreatorIocValue |
X | 不支援 IoC 欄位 |
Sha1 |
-> | evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1) |
FileName |
-> | evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName) |
FilePath |
-> | evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath) |
IPAddress |
-> | evidence/ipEvidence: ipAddress |
URL |
-> | evidence/urlEvidence: url |
IoaDefinitionId |
-> | detectorId |
UserName |
-> | evidence/userEvidence/userAccount: accountName |
AlertPart |
X | 過時 (適用於端點的 Defender 警示是可更新的不可部分完成/完整警示,而 SIEM API 是不可變的偵測記錄) |
FullId |
X | 不支援 IoC 欄位 |
LastProcessedTimeUtc |
-> | lastActivityDateTime |
ThreatCategory |
-> | mitreTechniques [] |
ThreatFamilyName |
-> | threatFamilyName |
ThreatName |
-> | threatDisplayName |
RemediationAction |
-> | evidence: remediationStatus |
RemediationIsSuccess |
-> | evidence: remediationStatus (implied) |
Source |
-> | detectionSource (use with serviceSource: microsoftDefenderForEndpoint) |
Md5 |
X | 不支援 |
Sha256 |
-> | evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256) |
WasExecutingWhileDetected |
-> | evidence/processEvidence: detectionStatus |
UserDomain |
-> | evidence/userEvidence/userAccount: domainName |
LogOnUsers |
-> | evidence/deviceEvidence: loggedOnUsers [] |
MachineDomain |
-> | 包含在 evidence/deviceEvidence: deviceDnsName |
MachineName |
-> | 包含在 evidence/deviceEvidence: deviceDnsName |
InternalIPV4List |
X | 不支援 |
InternalIPV6List |
X | 不支援 |
FileHash |
-> | 使用 sha1 或 sha256 |
DeviceID |
-> | evidence/deviceEvidence: mdeDeviceId |
MachineGroup |
-> | evidence/deviceEvidence: rbacGroupName |
Description |
-> | description |
DeviceCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CloudCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CommandLine |
-> | evidence/processEvidence: processCommandLine |
IncidentLinkToWDATP |
-> | incidentWebUrl |
ReportId |
X | 過時 (適用於端點的 Defender 警示是可更新的不可部分完成/完整警示,而 SIEM API 是不可變的偵測記錄) |
LinkToMTP |
-> | alertWebUrl |
IncidentLinkToMTP |
-> | incidentWebUrl |
ExternalId |
X | 過時 |
IocUniqueId |
X | 不支援 IoC 欄位 |
使用 SIEM) 工具 (安全資訊和事件管理擷取警示
注意事項
適用於端點的 Microsoft Defender 警示是由裝置上發生的一或多個可疑或惡意事件及其相關詳細數據所組成。 適用於端點的 適用於端點的 Microsoft Defender 警示 API 是警示取用的最新 API,並包含每個警示相關辨識的詳細清單。 如需詳細資訊,請參閱 警示方法和屬性 和 列出警示。
適用於端點的 Microsoft Defender支援安全性資訊和事件管理 (SIEM) 工具,使用已註冊Microsoft Entra的 OAuth 2.0 驗證通訊協定,從 Microsoft Entra ID 中的企業租用戶擷取資訊應用程式,代表您環境中安裝的特定 SIEM 解決方案或連接器。
如需詳細資訊,請參閱:
- 適用於端點的 Microsoft Defender API 授權和使用規定
- 存取適用於端點的 Microsoft Defender API
- Hello World範例 (說明如何在Microsoft Entra ID中註冊應用程式)
- 使用應用程式內容取得存取權
- Microsoft Defender 全面偵測回應 SIEM 整合
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。