Tapausilmoitusten käyttäminen Graph-ohjelmointirajapinnan avulla

Koskee seuraavia:

• Microsoft Defender XDR

Defender Experts Notifications ovat tapauksia, jotka on luotu Defender-asiantuntijoiden suorittamasta metsästyksestä ympäristössäsi. Ne sisältävät tietoja metsästystutkimuksesta ja Defender Expertsin tarjoamista suositelluista toimista. Voit nyt käyttää DEN:iä Microsoft Graphin suojauksen ohjelmointirajapinnan avulla.

Huomautus

Kaikki Microsoft Defender portaalin tapahtumat ovat kokoelma korreloituja ilmoituksia. Lisätietoja

Seuraavat Defender Experts Notification -tiedot ovat käytettävissä Microsoft Defender-portaalissa:

• Tapauksen otsikko - alkaa Defender Expertsista erottaakseen Defender Experts Notificationsin muista tapauksista
• Yhteenveto – antaa yleiskatsauksen tutkimuksen yhteenvedosta
• Suositusyhteenveto – luetteloi Defender-asiantuntijoiden suositellut toiminnot
• Kehittyneet metsästyskyselyt - luettelee tutkinnassa käytetyt muunnetut KQL-metsästyskyselyt

Microsoft Graphin suojauksen ohjelmointirajapinnassa on käytettävissä myös seuraavat kentät:

• Kaavion päätepiste - https://graph.microsoft.com/beta/security/incidents
• Seuraavat kenttien nimet , jotka vastaavat aiemmin mainittuja tietoja:
  • displayName
  • Kuvaus
  • recommendedActions
  • recommendedHuntingQueries

Huomautus

Nämä kentät ovat pian käytettävissä Graph v1.0 -päätepisteessä. Lisätietoja on artikkelissa Microsoft Graph REST -ohjelmointirajapinnan versio 1.0

Lähestymistapasi Defender Experts Notificationsin käyttämiseen ohjelmointirajapinnasta vaihtelee sen mukaan, mitä jatkotasojärjestelmää aiot käyttää ja mitä erityisiä vaatimuksia sinulla on. Seuraavat vaiheet ovat kuitenkin perustoteutuksen, jonka avulla pääset alkuun:

Graph-ohjelmointirajapinnan tapauksista alkaen

1. Graph-suojauksen ohjelmointirajapinnan tapausten hakeminen.
2. Tarkista uudet tapaukset, joissa displayName alkaa Defender Expertsilla.
3. Jatka tällaisten tapausten muiden kenttien lukemista.
4. Synkronoi Defender Experts Notification (DEN) -tiedot alavirtatyökaluun (esimerkiksi ServiceNow).

Graph-ohjelmointirajapinnan ilmoituksista alkaen

1. Hanki ilmoituksia Graph-suojauksen ohjelmointirajapinnasta.
2. Tarkista uudet ilmoitukset, joissa detectionSource alkaa microsoftThreatExperts-laitteilla.
3. Etsi vastaava tapaus tarkistamalla hälytyksessä mainittu incidentId .
4. Jatka tällaisten tapausten muiden kenttien lukemista.
5. Synkronoi Defender Experts Notification (DEN) -tiedot alavirtatyökaluun (esimerkiksi ServiceNow).

Seuraavat vaiheet

• Tee yhteistyötä asiantuntijoiden kanssa pyydettäessä

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.