Graph APIを使用してインシデント通知にアクセスする

適用対象:

• Microsoft Defender XDR

Defender エキスパート通知 は、環境内の Defender エキスパートによって実施されたハンティングから生成されたインシデントです。 検出調査に関する情報と、Defender エキスパートが提供する推奨されるアクションが含まれています。 Microsoft Graph セキュリティ API を使用して DN にアクセスできるようになりました。

注:

Microsoft Defender ポータル内のすべてのインシデントは、関連付けられたアラートのコレクションです。 詳細情報

Microsoft Defender ポータルでは、次の Defender Experts 通知の詳細を使用できます。

• インシデント タイトル - Defender Experts から始まり、Defender エキスパート通知を他のインシデントと区別します
• エグゼクティブサマリー - 調査の概要の概要を提供します
• 推奨事項の概要 - Defender Experts からの推奨されるアクションの一覧
• 高度なハンティング クエリ - 調査に使用される変換された KQL ハンティング クエリの一覧

Microsoft Graph セキュリティ API では、次のフィールドも使用できます。

• Graph エンドポイント - https://graph.microsoft.com/beta/security/incidents
• 前に説明した詳細に対応する次の フィールド名 。
  • displayName
  • 説明
  • recommendedActions
  • recommendedHuntingQueries

注:

これらのフィールドは、Graph v1.0 エンドポイントで間もなく使用できるようになります。 詳細については、「Microsoft Graph REST API v1.0」を参照してください。

API から Defender Experts 通知を使用するアプローチは、使用するダウンストリーム システムと特定の要件によって異なります。 ただし、次の手順は、作業を開始するのに役立つ基本的な実装です。

Graph APIのインシデントから始まる

1. Graph セキュリティ API からインシデントを取得します。
2. displayName が Defender Experts で始まる新しいインシデントを確認します。
3. 引き続き、このようなインシデントの残りのフィールドを読みます。
4. Defender Experts Notification (DEN) 情報をダウンストリーム ツール (ServiceNow など) に同期します。

Graph APIのアラートから始まる

1. Graph セキュリティ API からアラートを取得します。
2. detectionSource が microsoftThreatExperts で始まる新しいアラートを確認します。
3. アラートに一覧表示されている incidentId を 確認して、対応するインシデントを検索します。
4. 引き続き、このようなインシデントの残りのフィールドを読みます。
5. Defender Experts Notification (DEN) 情報をダウンストリーム ツール (ServiceNow など) に同期します。

次の手順

• 必要に応じてエキスパートと共同作業する

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。