Jaa

Hallinnan ja ohjelmointirajapintojen tarkastelu

  • Artikkeli

Koskee seuraavia:

Defender for Endpoint tukee monenlaisia käyttöönotto-, määritys- ja raportointivaihtoehtoja sen varmistamiseksi, että asiakkaat voivat helposti käyttää ympäristöä. Vaikka asiakasympäristöt ja -rakenteet voivat vaihdella, Defender for Endpoint luotiin joustavasti ja rakeisesti, jotta se sopisi vaihteleville asiakasvaatimuksille. Defender for Business tarjoaa samanlaisia ominaisuuksia, jotka on suunniteltu erityisesti pienille ja keskisuurille yrityksille.

Päätepisteiden käyttöönotto ja portaalin käyttö

Laitteiden käyttöönotto on täysin integroitu Microsoft Intune ja Microsoft Configuration Manager asiakaslaitteille. Voit käyttää sekä asiakas- että palvelinlaitteita Microsoft Defender portaalin avulla. Palvelimien kohdalla voit myös käyttää Defender for Cloudia, joka integroituu Defender for Endpointiin ja Defender for Business. (Palvelinkäyttöoikeudet vaaditaan; lisätietoja on kohdassa Järjestelmänvalvojan palvelimet Defender for Endpointiin ja Onboard-laitteet Defender for Business.)

Microsoft Defender-portaali tarjoaa suojaustiimillesi vankan, päästä päähän -käyttökokemuksen määritystä, käyttöönottoa ja valvontaa varten. Lisäksi Microsoft Defender for Endpoint tukee laitteiden hallintaan käytettäviä ryhmäkäytäntö ja muita kuin Microosft-työkaluja.

Defender for Endpoint tarjoaa tarkan hallinnan siihen, mitä käyttäjät, joilla on portaalin käyttöoikeus, voivat nähdä ja tehdä roolipohjaisen käytön valvonnan (RBAC) joustavuuden kautta. RBAC-malli tukee kaikkia suojaustiimien rakenteen makuja:

  • Maailmanlaajuisesti hajautetut organisaatiot ja suojaustiimit
  • Tasoihin tasoitetun mallin suojaustoimintojen tiimit
  • Täysin eritellyt jakolinjat, joissa on yksittäisiä keskitettyjä maailmanlaajuisia suojaustoimintoryhmiä

Käytettävissä olevat ohjelmointirajapinnat

Defender for Endpoint perustuu integrointivalmiiseen ympäristöön.

Defender for Endpoint paljastaa suuren osan tiedoistaan ja toiminnoistaan ohjelmallisten ohjelmointirajapintojen avulla. Näiden ohjelmointirajapintojen avulla voit automatisoida työnkulkuja ja innovoida Defender for Endpoint -ominaisuuksien perusteella. Voit myös käyttää Defender for Endpoint -ohjelmointirajapintoja Defender for Business ominaisuuksille, joita tuetaan Defender for Business.

Käytettävissä oleva ohjelmointirajapinta ja integrointi Microsoft Defender for Endpoint

Defender for Endpoint -ohjelmointirajapinnat voidaan ryhmitellä kolmeen:

  • Microsoft Defender for Endpoint ohjelmointirajapinnat
  • Raakatietojen suoratoiston ohjelmointirajapinta
  • SIEM-integrointi

Microsoft Defender for Endpoint ohjelmointirajapinnat

Defender for Endpoint tarjoaa kerrostetun ohjelmointirajapintamallin, joka näyttää tiedot ja ominaisuudet jäsennellyssä, selkeässä ja helppokäyttöisessa mallissa, joka on alttiina vakiomuotoisessa Azure AD todentamis- ja valtuutusmallissa, joka mahdollistaa käytön käyttäjien tai SaaS-sovellusten kontekstissa. Ohjelmointirajapintamalli on suunniteltu paljastamaan entiteetit ja ominaisuudet yhdenmukaisessa muodossa.

Katso tästä videosta lyhyt yleiskatsaus Defender for Endpointin ohjelmointirajapinnoista.

Investigation-ohjelmointirajapinta paljastaa Defender for Endpointin rikkauden eli laskettujen tai profiloitujen entiteettien (esimerkiksi laitteen, käyttäjän ja tiedoston) ja erillisten tapahtumien (esimerkiksi prosessin luomisen ja tiedostojen luomisen) rikkauden. Ne kuvaavat yleensä entiteettiin liittyvää toimintaa, joka mahdollistaa tietojen käytön tutkimuskäyttöliittymän kautta ja mahdollistaa kyselypohjaisen pääsyn tietoihin. Lisätietoja on kohdassa Tuetut ohjelmointirajapinnat.

Vastauksen ohjelmointirajapinta tarjoaa mahdollisuuden suorittaa toimintoja palvelussa ja laitteissa, jotta asiakkaat voivat käyttää ilmaisimia, hallita asetuksia, ilmoituksen tilaa sekä suorittaa reagointitoimintoja laitteissa ohjelmallisesti, kuten eristää laitteita verkosta, karanteenitiedostoja ja muita.

Raakatietojen suoratoiston ohjelmointirajapinta

Defender for Endpointin raakatietojen suoratoiston ohjelmointirajapinta tarjoaa asiakkaille mahdollisuuden lähettää reaaliaikaisia tapahtumia ja hälytyksiä esiintymistään, kun ne tapahtuvat yksittäisessä tietovirrassa, mikä tarjoaa pienen viiveen ja suuren siirtonopeuden toimitusmekanismin.

Defender for Endpoint -tapahtumatiedot lähetetään suoraan Azure-tallennustilaan tietojen pitkäaikaista säilytystä varten tai Azuren tapahtumatoimintoihin visualisointipalvelujen tai muiden tietojenkäsittelymoottorien kulutukseen.

Lisätietoja on kohdassa Raakatietojen virtauttamisen ohjelmointirajapinta.

Uusi Microsoft Defender XDR suoratoiston ohjelmointirajapinta sisältää laitteen tapahtumien lisäksi sähköposti- ja ilmoitustapahtumia. Lisätietoja on kohdassa Microsoft Defender XDR suoratoiston ohjelmointirajapinta.

SIEM-ohjelmointirajapinta

Kun otat suojaustiedot ja tapahtumienhallinnan (SIEM) integroinnin käyttöön, voit noutaa tunnistuksia Microsoft Defender XDR KÄYTTÄMÄLLÄ SIEM-ratkaisuasi tai muodostamalla yhteyden suoraan tunnistusten REST-ohjelmointirajapintaan. Tämä aktivoi SIEM-liittimen tietojen osion, jossa on valmiiksi täytetyt arvot, ja sovellus luodaan Microsoft Entra vuokraajassasi.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.