Migración de la API siem de MDE a la API de alertas de Microsoft Defender XDR
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
Uso de la nueva API de Microsoft Defender XDR para todas las alertas
La API de alertas de Microsoft Defender XDR, publicada en versión preliminar pública en MS Graph, es la API oficial y recomendada para los clientes que migran desde la API SIEM. Esta API permite a los clientes trabajar con alertas en todos los productos Microsoft Defender XDR mediante una única integración. Esperamos que la nueva API alcance la disponibilidad general (GA) para el primer trimestre de 2023.
La API SIEM quedó en desuso el 31 de diciembre de 2023. Se declara como "en desuso", pero no "retirado". Esto significa que hasta esta fecha, la API SIEM sigue funcionando para los clientes existentes. Después de la fecha de desuso, la API SIEM seguirá estando disponible, pero solo se admitirá para correcciones relacionadas con la seguridad.
A partir del 31 de diciembre de 2024, tres años después del anuncio de desuso original, nos reservamos el derecho de desactivar la API SIEM, sin previo aviso.
Para obtener más información sobre las nuevas API, consulte el anuncio de blog: Las nuevas API de Microsoft Defender XDR de Microsoft Graph ya están disponibles en versión preliminar pública.
Documentación de la API: Uso de la API de seguridad de Microsoft Graph: Microsoft Graph
Si es un cliente que usa la API SIEM, se recomienda planear y ejecutar la migración. En este artículo se incluye información sobre las opciones disponibles para migrar a una funcionalidad compatible:
Extracción de alertas de MDE en un sistema externo (SIEM/SOAR).
Llamar a la API de alertas de Microsoft Defender XDR directamente.
Obtenga información sobre la nueva API de alertas e incidentes de Microsoft Defender XDR
Extracción de alertas de Defender para punto de conexión en un sistema externo
Si va a extraer alertas de Defender para punto de conexión en un sistema externo, hay varias opciones admitidas para proporcionar a las organizaciones la flexibilidad necesaria para trabajar con la solución que prefieran:
Microsoft Sentinel es una solución de orquestación, automatización y respuesta (SOAR) escalable, nativa de la nube, SIEM y seguridad. Ofrece análisis de seguridad inteligente e inteligencia sobre amenazas en toda la empresa, lo que proporciona una única solución para la detección de ataques, la visibilidad de amenazas, la búsqueda proactiva y la respuesta a amenazas. El conector Microsoft Defender XDR permite a los clientes extraer fácilmente todos sus incidentes y alertas de todos los productos Microsoft Defender XDR. Para más información sobre la integración, consulte Microsoft Defender XDR integración con Microsoft Sentinel.
IBM Security QRadar SIEM proporciona visibilidad centralizada y análisis de seguridad inteligentes para identificar y evitar que las amenazas y vulnerabilidades interrumpan las operaciones empresariales. El equipo de SIEM de QRadar acaba de anunciar el lanzamiento de un nuevo DSM que se integra con la nueva API de alertas de Microsoft Defender XDR para extraer Microsoft Defender para punto de conexión alertas. Los nuevos clientes pueden aprovechar el nuevo DSM tras su lanzamiento. Obtenga más información sobre el nuevo DSM y cómo migrar fácilmente a él en Microsoft Defender XDR - Documentación de IBM.
Splunk SOAR ayuda a los clientes a organizar flujos de trabajo y automatizar las tareas en segundos para trabajar de forma más inteligente y responder más rápido. Splunk SOAR se integra con las nuevas API de Microsoft Defender XDR, incluida la API de alertas. Para obtener más información, vea Microsoft Defender XDR | Splunkbase
Otras integraciones aparecen en Socios tecnológicos de Microsoft Defender XDR, o póngase en contacto con su proveedor SIEM/SOAR para obtener información sobre las integraciones que proporcionan.
Llamar directamente a la API de alertas de Microsoft Defender XDR
En la tabla siguiente se proporciona una asignación entre la API SIEM a la API de alertas de Microsoft Defender XDR:
| PROPIEDAD DE LA API DE SIEM | Asignación | Microsoft Defender XDR propiedad de api de alertas |
|---|---|---|
AlertTime |
-> | createdDateTime |
ComputerDnsName |
-> | evidence/deviceEvidence: deviceDnsName |
AlertTitle |
-> | title |
Category |
-> | category |
Severity |
-> | severity |
AlertId |
-> | id |
Actor |
-> | actorDisplayName |
LinkToWDATP |
-> | alertWebUrl |
IocName |
X | Campos de IoC no admitidos |
IocValue |
X | Campos de IoC no admitidos |
CreatorIocName |
X | Campos de IoC no admitidos |
CreatorIocValue |
X | Campos de IoC no admitidos |
Sha1 |
-> | evidence/fileEvidence/fileDetails: sha1 (or evidence/processEvidence/imageFile: sha1) |
FileName |
-> | evidence/fileEvidence/fileDetails: fileName (or evidence/processEvidence/image: fileName) |
FilePath |
-> | evidence/fileEvidence/fileDetails: filePath (or evidence/processEvidence/image: filePath) |
IPAddress |
-> | evidence/ipEvidence: ipAddress |
URL |
-> | evidence/urlEvidence: url |
IoaDefinitionId |
-> | detectorId |
UserName |
-> | evidence/userEvidence/userAccount: accountName |
AlertPart |
X | Obsoleto (las alertas de Defender para punto de conexión son atómicas o completas que son actualizables, mientras que la API siem eran registros inmutables de detecciones) |
FullId |
X | Campos de IoC no admitidos |
LastProcessedTimeUtc |
-> | lastActivityDateTime |
ThreatCategory |
-> | mitreTechniques [] |
ThreatFamilyName |
-> | threatFamilyName |
ThreatName |
-> | threatDisplayName |
RemediationAction |
-> | evidence: remediationStatus |
RemediationIsSuccess |
-> | evidence: remediationStatus (implied) |
Source |
-> | detectionSource (use with serviceSource: microsoftDefenderForEndpoint) |
Md5 |
X | No se admite |
Sha256 |
-> | evidence/fileEvidence/fileDetails: sha256 (or evidence/processEvidence/imageFile: sha256) |
WasExecutingWhileDetected |
-> | evidence/processEvidence: detectionStatus |
UserDomain |
-> | evidence/userEvidence/userAccount: domainName |
LogOnUsers |
-> | evidence/deviceEvidence: loggedOnUsers [] |
MachineDomain |
-> | Incluido en evidence/deviceEvidence: deviceDnsName |
MachineName |
-> | Incluido en evidence/deviceEvidence: deviceDnsName |
InternalIPV4List |
X | No se admite |
InternalIPV6List |
X | No se admite |
FileHash |
-> | Usar sha1 o sha256 |
DeviceID |
-> | evidence/deviceEvidence: mdeDeviceId |
MachineGroup |
-> | evidence/deviceEvidence: rbacGroupName |
Description |
-> | description |
DeviceCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CloudCreatedMachineTags |
-> | evidence: tags [] (for deviceEvidence) |
CommandLine |
-> | evidence/processEvidence: processCommandLine |
IncidentLinkToWDATP |
-> | incidentWebUrl |
ReportId |
X | Obsoleto (las alertas de Defender para punto de conexión son atómicas o completas que son actualizables, mientras que la API siem eran registros inmutables de detecciones) |
LinkToMTP |
-> | alertWebUrl |
IncidentLinkToMTP |
-> | incidentWebUrl |
ExternalId |
X | Obsoleto |
IocUniqueId |
X | Campos de IoC no admitidos |
Ingesta de alertas mediante herramientas de administración de eventos e información de seguridad (SIEM)
Nota:
Microsoft Defender para punto de conexión Alerta se compone de uno o varios eventos sospechosos o malintencionados que se produjeron en el dispositivo y sus detalles relacionados. La API de alertas de Microsoft Defender para punto de conexión es la API más reciente para el consumo de alertas y contiene una lista detallada de pruebas relacionadas para cada alerta. Para obtener más información, vea Métodos y propiedades de alerta y Lista de alertas.
Microsoft Defender para punto de conexión admite herramientas de administración de eventos e información de seguridad (SIEM) que ingieren información del inquilino empresarial en Microsoft Entra ID mediante el protocolo de autenticación de OAuth 2.0 para un Microsoft Entra registrado aplicación que representa la solución siem específica o el conector instalado en el entorno.
Para obtener más información, consulte:
- Microsoft Defender para punto de conexión licencia y términos de uso de las API
- Acceder a las API de Microsoft Defender para punto de conexión
- Hola mundo ejemplo (describe cómo registrar una aplicación en Microsoft Entra ID)
- Obtener acceso con el contexto de la aplicación
- Microsoft Defender XDR integración de SIEM
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.