Compartilhar via

Visão geral do gerenciamento e APIs

  • Artigo

Aplica-se a:

O Defender para Endpoint suporta uma grande variedade de opções de implementação, configuração e relatórios para garantir que os clientes podem adotar facilmente a plataforma. Reconhecendo que os ambientes e estruturas dos clientes podem variar, o Defender para Endpoint foi criado com flexibilidade e controlo granular para se ajustar aos diferentes requisitos dos clientes. Defender para Empresas fornece capacidades semelhantes, concebidas especialmente para pequenas e médias empresas.

Inclusão de pontos finais e acesso ao portal

A integração de dispositivos está totalmente integrada em Microsoft Intune e Microsoft Configuration Manager para dispositivos cliente. Pode integrar dispositivos cliente e servidor com o portal Microsoft Defender. Em alternativa, para servidores, pode utilizar o Defender para a Cloud, que se integra com o Defender para Endpoint e Defender para Empresas. (As licenças de servidor são necessárias; para obter mais informações, consulte Integrar servidores no Defender para Endpoint e Integrar dispositivos para Defender para Empresas.)

O portal Microsoft Defender fornece à sua equipa de segurança uma experiência robusta, ponto a ponto para configuração, implementação e monitorização. Além disso, Microsoft Defender para Ponto de Extremidade suporta Política de Grupo e outras ferramentas não Microosft utilizadas para gerir dispositivos.

O Defender para Endpoint fornece um controlo detalhado sobre o que os utilizadores com acesso ao portal podem ver e fazer através da flexibilidade do controlo de acesso baseado em funções (RBAC). O modelo RBAC suporta todos os tipos de estrutura das equipas de segurança:

  • Organizações distribuídas globalmente e equipas de segurança
  • Equipas de operações de segurança de modelos em camadas
  • Divisões totalmente segregadas com uma única equipa centralizada de operações de segurança global

APIs disponíveis

O Defender para Endpoint baseia-se numa plataforma pronta para integração.

O Defender para Endpoint expõe grande parte dos seus dados e ações através de um conjunto de APIs programáticas. Essas APIs permitem-lhe automatizar fluxos de trabalho e inovar com base nas capacidades do Defender para Endpoint. Também pode utilizar as APIs do Defender para Endpoint com Defender para Empresas para as capacidades suportadas no Defender para Empresas.

A API disponível e a integração no Microsoft Defender para Ponto de Extremidade

As APIs do Defender para Endpoint podem ser agrupadas em três:

  • APIs Microsoft Defender para Ponto de Extremidade
  • API de streaming de dados não processados
  • Integração SIEM

APIs Microsoft Defender para Ponto de Extremidade

O Defender para Endpoint oferece um modelo de API em camadas que expõe dados e capacidades num modelo estruturado, claro e fácil de utilizar, exposto através de um modelo de autenticação e autorização baseado em Azure AD padrão que permite o acesso no contexto de utilizadores ou aplicações SaaS. O modelo de API foi concebido para expor entidades e capacidades de uma forma consistente.

Veja este vídeo para obter uma descrição geral rápida das APIs do Defender para Endpoint.

A API de Investigação expõe a riqueza do Defender para Endpoint , expondo entidades calculadas ou "perfiladas" (por exemplo, dispositivo, utilizador e ficheiro) e eventos discretos (por exemplo, criação de processos e criação de ficheiros), que normalmente descreve um comportamento relacionado com uma entidade, permitindo o acesso aos dados através de interfaces de investigação que permitem um acesso baseado em consultas aos dados. Para obter mais informações, veja APIs suportadas.

A API de Resposta expõe a capacidade de realizar ações no serviço e nos dispositivos, permitindo aos clientes ingerir indicadores, gerir definições, alertar status, bem como realizar ações de resposta em dispositivos programaticamente, como isolar dispositivos da rede, ficheiros de quarentena e outros.

API de streaming de dados não processados

A API de transmissão em fluxo de dados não processados do Defender para Endpoint permite que os clientes enviem eventos e alertas em tempo real a partir das respetivas instâncias à medida que ocorrem num único fluxo de dados, proporcionando um mecanismo de entrega de débito elevado e latência baixa.

As informações de eventos do Defender para Endpoint são enviadas diretamente para o armazenamento do Azure para retenção de dados de longo prazo ou para Hubs de Eventos do Azure para consumo por serviços de visualização ou outros motores de processamento de dados.

Para obter mais informações, veja API de transmissão em fluxo de dados não processados.

A nova API de Transmissão em Fluxo de Microsoft Defender XDR inclui eventos de e-mail e alertas, além de eventos de dispositivos. Para obter mais informações, veja Microsoft Defender XDR API de Transmissão em Fluxo.

SIEM API

Quando ativa a integração da gestão de informações e eventos de segurança (SIEM), pode solicitar deteções de Microsoft Defender XDR através da sua solução SIEM ou ao ligar diretamente à API REST de deteções. Isto ativa a secção de detalhes de acesso do conector SIEM com valores pré-preenchidos e é criada uma aplicação no seu inquilino Microsoft Entra.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.