Toegang tot incidentmeldingen met behulp van Graph API

Van toepassing op:

• Microsoft Defender XDR

Meldingen van Defender-experts zijn incidenten die zijn gegenereerd op basis van opsporing uitgevoerd door Defender-experts in uw omgeving. Ze bevatten informatie over het opsporingsonderzoek en aanbevolen acties van Defender Experts. U hebt nu toegang tot DEN's met behulp van de Microsoft Graph-beveiligings-API.

Opmerking

Elk incident in de Microsoft Defender portal is een verzameling gecorreleerde waarschuwingen. Meer informatie

De volgende meldingen van Defender-experts zijn beschikbaar in de Microsoft Defender-portal:

• Titel van incident : begint met Defender-experts om meldingen van Defender-experts te onderscheiden van andere incidenten
• Executive summary - biedt een overzicht van de onderzoekssamenvatting
• Aanbevelingsoverzicht : een lijst met de aanbevolen acties van Defender-experts
• Geavanceerde opsporingsquery's : een lijst met de geconverteerde KQL-opsporingsquery's die voor het onderzoek worden gebruikt

In de Microsoft Graph-beveiligings-API zijn ook de volgende velden beschikbaar:

• Graph-eindpunt - https://graph.microsoft.com/beta/security/incidents
• De volgende veldnamen die overeenkomen met de eerder genoemde gegevens:
  • displayName
  • beschrijving
  • recommendedActions
  • recommendedHuntingQueries

Opmerking

Deze velden zijn binnenkort beschikbaar in graph v1.0-eindpunt. Zie Microsoft Graph REST API v1.0 voor meer informatie

De manier waarop u Defender Experts-meldingen van de API gebruikt, is afhankelijk van het downstreamsysteem dat u wilt gebruiken en uw specifieke vereisten. De volgende stappen zijn echter een eenvoudige implementatie om u op weg te helpen:

Beginnen met incidenten in de Graph API

1. Haal incidenten op uit de Graph-beveiligings-API.
2. Controleer op nieuwe incidenten waarbij displayName begint met Defender-experts.
3. Lees verder de resterende velden voor dergelijke incidenten.
4. Synchroniseer de informatie van Defender Experts Notification (DEN) in uw downstream-hulpprogramma (bijvoorbeeld ServiceNow).

Te beginnen met waarschuwingen in de Graph API

1. Ontvang waarschuwingen van de Graph-beveiligings-API.
2. Controleer op nieuwe waarschuwingen waarbij detectionSource begint met microsoftThreatExperts.
3. Zoek het bijbehorende incident op door incidentId te controleren die in de waarschuwing wordt vermeld.
4. Lees verder de resterende velden voor dergelijke incidenten.
5. Synchroniseer de informatie van Defender Experts Notification (DEN) in uw downstream-hulpprogramma (bijvoorbeeld ServiceNow).

Volgende stap

• Samenwerken met experts op aanvraag

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.