Condividi tramite


Panoramica di gestione e API

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Defender per endpoint supporta un'ampia gamma di opzioni per garantire che i clienti possano adottare facilmente la piattaforma.

Riconoscendo che gli ambienti e le strutture dei clienti possono variare, Defender per endpoint è stato creato con flessibilità e controllo granulare per soddisfare le diverse esigenze dei clienti.

Onboarding degli endpoint e accesso al portale

L'onboarding dei dispositivi è completamente integrato in Microsoft Configuration Manager e Microsoft Intune per i dispositivi client e Microsoft Defender per i dispositivi server, offrendo un'esperienza end-to-end completa di configurazione, distribuzione e monitoraggio. Inoltre, Microsoft Defender per endpoint supporta Criteri di gruppo e altri strumenti di terze parti usati per la gestione dei dispositivi.

Defender per endpoint offre un controllo granulare delle operazioni che gli utenti con accesso al portale possono visualizzare e eseguire grazie alla flessibilità del controllo degli accessi in base al ruolo. Il modello di controllo degli accessi in base al ruolo supporta tutte le versioni della struttura dei team di sicurezza:

  • Organizzazioni distribuite a livello globale e team di sicurezza
  • Team delle operazioni di sicurezza dei modelli a livelli
  • Divisioni completamente segregate con singoli team operativi di sicurezza globali centralizzati

API disponibili

La soluzione Microsoft Defender per endpoint si basa su una piattaforma pronta per l'integrazione.

Defender per endpoint espone gran parte dei dati e delle azioni tramite un set di API programmatiche. Queste API consentono di automatizzare i flussi di lavoro e di innovare in base alle funzionalità di Defender per endpoint.

API e integrazione disponibili in Microsoft Defender per endpoint

Le API di Defender per endpoint possono essere raggruppate in tre:

  • API Microsoft Defender per endpoint
  • API di streaming di dati non elaborati
  • Integrazione SIEM

API Microsoft Defender per endpoint

Defender per endpoint offre un modello API a più livelli che espone dati e funzionalità in un modello strutturato, chiaro e facile da usare, esposto tramite un modello di autenticazione e autorizzazione basato su Azure AD standard che consente l'accesso nel contesto di utenti o applicazioni SaaS. Il modello API è stato progettato per esporre entità e funzionalità in un formato coerente.

Guardare questo video per una rapida panoramica delle API di Defender per endpoint.

L'API di analisi espone la ricchezza di Defender per endpoint, esponendo entità calcolate o "profilate", ad esempio dispositivo, utente e file, ed eventi discreti ,ad esempio la creazione di processi e la creazione di file, che in genere descrive un comportamento correlato a un'entità, consentendo l'accesso ai dati tramite interfacce di indagine che consentono l'accesso ai dati basato su query. Per altre informazioni, vedere API supportate.

L'API Di risposta espone la possibilità di eseguire azioni nel servizio e nei dispositivi, consentendo ai clienti di inserire indicatori, gestire le impostazioni, lo stato degli avvisi e di eseguire azioni di risposta nei dispositivi a livello di codice, ad esempio isolare i dispositivi dalla rete, i file di quarantena e altri.

API di streaming di dati non elaborati

L'API di streaming dei dati non elaborati di Defender per endpoint offre ai clienti la possibilità di inviare eventi e avvisi in tempo reale dalle proprie istanze quando si verificano all'interno di un singolo flusso di dati, fornendo un meccanismo di recapito a bassa latenza e velocità effettiva elevata.

Le informazioni sugli eventi di Defender per endpoint vengono sottoposte direttamente all'archiviazione di Azure per la conservazione dei dati a lungo termine o per Hub eventi di Azure per l'utilizzo da parte di servizi di visualizzazione o motori di elaborazione dati aggiuntivi.

Per altre informazioni, vedere API di streaming dati non elaborati.

La nuova API di streaming Microsoft Defender XDR include eventi di posta elettronica e avviso oltre agli eventi del dispositivo. Per altre informazioni, vedere Microsoft Defender XDR API di streaming.

SIEM API

Quando si abilita l'integrazione delle informazioni di sicurezza e della gestione degli eventi (SIEM), è possibile eseguire il pull dei rilevamenti da Microsoft Defender XDR usando la soluzione SIEM o connettendosi direttamente all'API REST dei rilevamenti. In questo modo viene attivata la sezione dei dettagli di accesso del connettore SIEM con valori precompilati e viene creata un'applicazione nel tenant Microsoft Entra.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.