Del via

Oversigt over administration og API'er

  • Artikel

Gælder for:

Defender for Endpoint understøtter en lang række udrulnings-, konfigurations- og rapporteringsmuligheder for at sikre, at kunderne nemt kan anvende platformen. Da kundemiljøer og -strukturer kan variere, blev Defender for Endpoint oprettet med fleksibilitet og detaljeret kontrol, så de passer til forskellige kundekrav. Defender til virksomheder leverer lignende funktioner, der er udviklet specielt til små og mellemstore virksomheder.

Onboarding af slutpunkt og portaladgang

Onboarding af enheder er fuldt integreret i Microsoft Intune og Microsoft Configuration Manager til klientenheder. Du kan onboarde både klient- og serverenheder ved hjælp af Microsoft Defender-portalen. Eller til servere kan du bruge Defender for Cloud, som kan integreres med Defender for Endpoint og Defender til virksomheder. Der kræves serverlicenser. Du kan finde flere oplysninger under Onboarding-servere til Defender for Endpoint og Onboard-enheder for at Defender til virksomheder.)

Portalen Microsoft Defender giver dit sikkerhedsteam en robust, fuldstændig oplevelse med konfiguration, udrulning og overvågning. Derudover understøtter Microsoft Defender for Endpoint Gruppepolitik og andre ikke-Microosft-værktøjer, der bruges til at administrere enheder.

Defender for Endpoint giver detaljeret kontrol over, hvad brugere med adgang til portalen kan se og gøre via fleksibiliteten i rollebaseret adgangskontrol( RBAC). RBAC-modellen understøtter alle varianter af strukturen for sikkerhedsteams:

  • Globalt distribuerede organisationer og sikkerhedsteams
  • Grupper af sikkerhedshandlinger for differentierede modeller
  • Fuldt adskilte divisioner med enkelte centraliserede globale sikkerhedsteams

Tilgængelige API'er

Defender for Endpoint er bygget oven på en platform, der er klar til integration.

Defender for Endpoint fremviser mange af sine data og handlinger via et sæt programmatiske API'er. Disse API'er gør det muligt for dig at automatisere arbejdsprocesser og skabe innovation baseret på funktionerne i Defender for Endpoint. Du kan også bruge Defender for Endpoint-API'er med Defender til virksomheder til de funktioner, der understøttes i Defender til virksomheder.

Den tilgængelige API og integration i Microsoft Defender for Endpoint

Defender for Endpoint-API'er kan grupperes i tre:

  • Microsoft Defender for Endpoint API'er
  • Rå datastreaming-API
  • SIEM-integration

Microsoft Defender for Endpoint API'er

Defender for Endpoint tilbyder en lagdelt API-model, der eksponerer data og funktioner i en struktureret, klar og brugervenlig model, der eksponeres via en standard-Azure AD-baseret godkendelses- og godkendelsesmodel, der giver adgang i forbindelse med brugere eller SaaS-programmer. API-modellen er udviklet til at vise objekter og egenskaber i en ensartet form.

Se denne video for at få et hurtigt overblik over Defender for Endpoints API'er.

Undersøgelses-API'en viser mængden af Defender for Endpoint – eksponerer beregnede eller "profilerede" enheder (f.eks. enhed, bruger og fil) og diskrete hændelser (f.eks. oprettelse af processer og filoprettelse), som typisk beskriver en funktionsmåde, der er relateret til et objekt, hvilket gør det muligt at få adgang til data via undersøgelsesgrænseflader, der giver en forespørgselsbaseret adgang til data. Du kan få flere oplysninger under Understøttede API'er.

Svar-API'en viser muligheden for at udføre handlinger i tjenesten og på enheder, så kunderne kan indtage indikatorer, administrere indstillinger, beskedstatus samt udføre svarhandlinger på enheder programmatisk, f.eks. isolere enheder fra netværket, sætte filer i karantæne og andre.

Rå datastreaming-API

Defender for Endpoint Raw Data Streaming API giver kunderne mulighed for at sende hændelser og beskeder i realtid fra deres instanser, når de forekommer i en enkelt datastream, hvilket giver en lav ventetid og leveringsmekanisme med et højt gennemløb.

Defender for Endpoint-hændelsesoplysningerne sendes direkte til Azure Storage med henblik på langtidsopbevaring af data eller til Azure Event Hubs til forbrug af visualiseringstjenester eller andre databehandlingsprogrammer.

Du kan få flere oplysninger under Rå API til datastreaming.

Den nye Microsoft Defender XDR Streaming-API indeholder mail- og beskedhændelser ud over enhedshændelser. Du kan få flere oplysninger under Microsoft Defender XDR Streaming-API.

SIEM-API

Når du aktiverer SIEM-integration (security information and event management), kan du hente registreringer fra Microsoft Defender XDR ved hjælp af din SIEM-løsning eller ved at oprette direkte forbindelse til REST API'en til registreringer. Dette aktiverer afsnittet med oplysninger om adgang til SIEM-connectoren med forududfyldte værdier, og der oprettes et program under din Microsoft Entra lejer.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.