MDE SIEM API'sinden Microsoft Defender XDR uyarıları API'sine geçiş
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- Microsoft Defender XDR
Tüm uyarılarınız için yeni Microsoft Defender XDR API'sini kullanın
MS Graph'ta genel önizlemeye sunulan Microsoft Defender XDR uyarıları API'si, SIEM API'sinden geçiş yapılan müşteriler için resmi ve önerilen API'dir. Bu API, müşterilerin tek bir tümleştirme kullanarak tüm Microsoft Defender XDR ürünlerde uyarılarla çalışmasını sağlar. Yeni API'nin Q1 CY 2023'e kadar genel kullanıma (GA) ulaşmasını bekliyoruz.
SIEM API'si 31 Aralık 2023'te kullanım dışı bırakılmıştır. "Kullanım dışı" olarak bildirilir, ancak "kullanımdan kaldırıldı" olarak bildirilmemiştir. Bu, bu tarihe kadar SIEM API'sinin mevcut müşteriler için çalışmaya devam etmesi anlamına gelir. Kullanımdan kaldırma tarihinden sonra SIEM API'si kullanılabilir olmaya devam eder, ancak yalnızca güvenlikle ilgili düzeltmeler için desteklenir.
İlk kullanımdan kaldırma duyurusunun ardından 31 Aralık 2024 tarihinden itibaren geçerli olmak üzere SIEM API'sini daha fazla bildirimde bulunmadan kapatma hakkını saklıyoruz.
Yeni API'ler hakkında daha fazla bilgi için blog duyurusunu inceleyin: Microsoft Graph'teki yeni Microsoft Defender XDR API'leri artık genel önizleme sürümünde!
API belgeleri: Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph
SIEM API'sini kullanan bir müşteriyseniz geçişi planlamanızı ve yürütmenizi kesinlikle öneririz. Bu makale, desteklenen bir özelliğe geçirilebilecek seçenekler hakkında bilgi içerir:
MDE uyarıları bir dış sisteme (SIEM/SOAR) çekme.
Yeni Microsoft Defender XDR uyarıları ve olaylar API'sini okuyun
Uç Nokta için Defender uyarılarını dış sisteme çekme
Uç Nokta için Defender uyarılarını bir dış sisteme çekiyorsanız, kuruluşlara tercih ettikleri çözümle çalışma esnekliği sağlamak için desteklenen çeşitli seçenekler vardır:
Microsoft Sentinel ölçeklenebilir, bulutta yerel, SIEM ve Güvenlik düzenleme, otomasyon ve yanıt (SOAR) çözümüdür. Kuruluş genelinde akıllı güvenlik analizi ve tehdit bilgileri sunarak saldırı algılama, tehdit görünürlüğü, proaktif avcılık ve tehdit yanıtı için tek bir çözüm sağlar. Microsoft Defender XDR bağlayıcısı, müşterilerin tüm olaylarını ve uyarılarını tüm Microsoft Defender XDR ürünlerinden kolayca çekmesini sağlar. Tümleştirme hakkında daha fazla bilgi edinmek için bkz. Microsoft Sentinel ile tümleştirme Microsoft Defender XDR.
IBM Security QRadar SIEM, tehditlerin ve güvenlik açıklarının iş operasyonlarını kesintiye uğratmasını belirlemek ve önlemek için merkezi görünürlük ve akıllı güvenlik analizi sağlar. QRadar SIEM ekibi, Uç Nokta için Microsoft Defender uyarıları çekmek için yeni Microsoft Defender XDR uyarıları API'siyle tümleştirilmiş yeni bir DSM'nin yayınlandığını duyurdu. Yeni müşteriler yayınlandığında yeni DSM'nin avantajlarından yararlanabilir. Yeni DSM hakkında daha fazla bilgi edinmek ve bu DSM'ye kolayca geçiş yapmak için Microsoft Defender XDR - IBM Belgeleri'ni inceleyin.
Splunk SOAR , müşterilerin daha akıllı çalışmak ve daha hızlı yanıt vermek için iş akışlarını düzenlemesine ve görevleri saniyeler içinde otomatikleştirmesine yardımcı olur. Splunk SOAR, uyarılar API'si de dahil olmak üzere yeni Microsoft Defender XDR API'leriyle tümleşiktir. Daha fazla bilgi için bkz. Microsoft Defender XDR | Splunkbase
Diğer tümleştirmeler Microsoft Defender XDR Teknolojik iş ortaklarında listelenir veya sağladıkları tümleştirmeler hakkında bilgi edinmek için SIEM /SOAR sağlayıcınıza başvurun.
Microsoft Defender XDR uyarıları API'sini doğrudan çağırma
Aşağıdaki tabloda SIEM API'sini Microsoft Defender XDR uyarıları API'sine eşleme sağlanır:
| SIEM API özelliği | Eşleme | uyarı API'si özelliğini Microsoft Defender XDR |
|---|---|---|
AlertTime |
-> | createdDateTime |
ComputerDnsName |
-> | evidence/deviceEvidence: deviceDnsName |
AlertTitle |
-> | title |
Category |
-> | category |
Severity |
-> | severity |
AlertId |
-> | id |
Actor |
-> | actorDisplayName |
LinkToWDATP |
-> | alertWebUrl |
IocName |
X | IoC alanları desteklenmiyor |
IocValue |
X | IoC alanları desteklenmiyor |
CreatorIocName |
X | IoC alanları desteklenmiyor |
CreatorIocValue |
X | IoC alanları desteklenmiyor |
Sha1 |
-> | evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1) |
FileName |
-> | evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName) |
FilePath |
-> | evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath) |
IPAddress |
-> | evidence/ipEvidence: ipAddress |
URL |
-> | evidence/urlEvidence: url |
IoaDefinitionId |
-> | detectorId |
UserName |
-> | evidence/userEvidence/userAccount: accountName |
AlertPart |
X | Kullanımdan kaldırıldı (SIEM API'si sabit algılama kayıtlarıyken Uç Nokta için Defender uyarıları, güncelleştirilebilir olan atomik/eksiksiz uyarılardır) |
FullId |
X | IoC alanları desteklenmiyor |
LastProcessedTimeUtc |
-> | lastActivityDateTime |
ThreatCategory |
-> | mitreTechniques [] |
ThreatFamilyName |
-> | threatFamilyName |
ThreatName |
-> | threatDisplayName |
RemediationAction |
-> | evidence: remediationStatus |
RemediationIsSuccess |
-> | evidence: remediationStatus (implied) |
Source |
-> | detectionSource (use with serviceSource: microsoftDefenderForEndpoint) |
Md5 |
X | Desteklenmiyor |
Sha256 |
-> | evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256) |
WasExecutingWhileDetected |
-> | evidence/processEvidence: detectionStatus |
UserDomain |
-> | evidence/userEvidence/userAccount: domainName |
LogOnUsers |
-> | evidence/deviceEvidence: loggedOnUsers [] |
MachineDomain |
-> | Dahil edilenler evidence/deviceEvidence: deviceDnsName |
MachineName |
-> | Dahil edilenler evidence/deviceEvidence: deviceDnsName |
InternalIPV4List |
X | Desteklenmiyor |
InternalIPV6List |
X | Desteklenmiyor |
FileHash |
-> | veya sha1sha256 |
DeviceID |
-> | evidence/deviceEvidence: mdeDeviceId |
MachineGroup |
-> | evidence/deviceEvidence: rbacGroupName |
Description |
-> | description |
DeviceCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CloudCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CommandLine |
-> | evidence/processEvidence: processCommandLine |
IncidentLinkToWDATP |
-> | incidentWebUrl |
ReportId |
X | Kullanımdan kaldırıldı (SIEM API'si sabit algılama kayıtlarıyken Uç Nokta için Defender uyarıları, güncelleştirilebilir olan atomik/eksiksiz uyarılardır) |
LinkToMTP |
-> | alertWebUrl |
IncidentLinkToMTP |
-> | incidentWebUrl |
ExternalId |
X | Eski |
IocUniqueId |
X | IoC alanları desteklenmiyor |
Güvenlik bilgileri ve olay yönetimi (SIEM) araçlarını kullanarak uyarıları alma
Not
Uç Nokta için Microsoft Defender Uyarısı, cihazda gerçekleşen bir veya daha fazla şüpheli veya kötü amaçlı olaydan ve bunların ilgili ayrıntılarından oluşur. Uç Nokta için Microsoft Defender Uyarı API'si, uyarı tüketimi için en son API'dir ve her uyarı için ilgili kanıtların ayrıntılı bir listesini içerir. Daha fazla bilgi için bkz . Uyarı yöntemleri ve özellikleri veListe uyarıları.
Uç Nokta için Microsoft Defender, kayıtlı bir Microsoft Entra için OAuth 2.0 kimlik doğrulama protokolunu kullanarak Microsoft Entra ID'da kurumsal kiracınızdan bilgi alan güvenlik bilgilerini ve olay yönetimi (SIEM) araçlarını destekler Microsoft Entra ortamınızda yüklü olan belirli SIEM çözümünü veya bağlayıcısını temsil eden uygulama.
Daha fazla bilgi için bkz.:
- api lisansını ve kullanım koşullarını Uç Nokta için Microsoft Defender
- Uç Nokta için Microsoft Defender API’lere erişin
- Merhaba Dünya örnek (bir uygulamanın Microsoft Entra ID'ye nasıl kaydedildiği açıklanır)
- Uygulama bağlamıyla erişim alın
- SIEM tümleştirmesini Microsoft Defender XDR
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.