Dela via

Översikt över hantering och API:er

  • Artikel

Gäller för:

Defender för Endpoint stöder en mängd olika distributions-, konfigurations- och rapporteringsalternativ för att säkerställa att kunderna enkelt kan använda plattformen. Defender för Endpoint har skapats med flexibilitet och detaljerad kontroll för att passa olika kundkrav. Defender för företag har liknande funktioner, särskilt utformade för små och medelstora företag.

Slutpunktsregistrering och portalåtkomst

Enhetsregistrering är helt integrerat i Microsoft Intune och Microsoft Configuration Manager för klientenheter. Du kan registrera både klient- och serverenheter med hjälp av Microsoft Defender-portalen. Eller för servrar kan du använda Defender för molnet, som integreras med Defender för Endpoint och Defender för företag. (Serverlicenser krävs. Mer information finns i Registrera servrar till Defender för Endpoint och Registrera enheter som ska Defender för företag.)

Microsoft Defender-portalen ger säkerhetsteamet en robust upplevelse från slutpunkt till slutpunkt för konfiguration, distribution och övervakning. Dessutom stöder Microsoft Defender för Endpoint grupprincip och andra verktyg som inte är microosft-verktyg som används för att hantera enheter.

Defender för Endpoint ger detaljerad kontroll över vad användare med åtkomst till portalen kan se och göra genom flexibiliteten i rollbaserad åtkomstkontroll (RBAC). RBAC-modellen stöder alla varianter av säkerhetsteamens struktur:

  • Globalt distribuerade organisationer och säkerhetsteam
  • Säkerhetsåtgärdsteam för nivåindelade modeller
  • Helt åtskilda divisioner med enskilda centraliserade globala säkerhetsteam

Tillgängliga API:er

Defender för Endpoint bygger på en integrationsklar plattform.

Defender för Endpoint exponerar mycket av sina data och åtgärder via en uppsättning programmatiska API:er. Med dessa API:er kan du automatisera arbetsflöden och innovationer baserat på Funktionerna i Defender för Endpoint. Du kan också använda Defender för Endpoint-API:er med Defender för företag för de funktioner som stöds i Defender för företag.

Tillgängligt API och integrering i Microsoft Defender för Endpoint

Defender för Endpoint-API:erna kan grupperas i tre:

  • Microsoft Defender för Endpoint API:er
  • API för direktuppspelning av rådata
  • SIEM-integrering

Microsoft Defender för Endpoint API:er

Defender för Endpoint erbjuder en skiktad API-modell som exponerar data och funktioner i en strukturerad, tydlig och lättanvänd modell som exponeras via en standardmodell för Azure AD-baserad autentisering och auktorisering som tillåter åtkomst i kontexten för användare eller SaaS-program. API-modellen har utformats för att exponera entiteter och funktioner i en konsekvent form.

Titta på den här videon för en snabb översikt över API:erna för Defender för Endpoint.

Undersöknings-API:et exponerar rikedomen i Defender för Endpoint – exponerar beräknade eller "profilerade" entiteter (till exempel enhet, användare och fil) och diskreta händelser (till exempel processskapande och filskapande) som vanligtvis beskriver ett beteende som är relaterat till en entitet, vilket ger åtkomst till data via undersökningsgränssnitt som tillåter frågebaserad åtkomst till data. Mer information finns i API:er som stöds.

Svars-API:et visar möjligheten att vidta åtgärder i tjänsten och på enheter, vilket gör det möjligt för kunder att mata in indikatorer, hantera inställningar, aviseringsstatus samt vidta svarsåtgärder på enheter programmatiskt, till exempel isolera enheter från nätverket, karantänfiler och andra.

API för direktuppspelning av rådata

Api:et för rådataströmning i Defender för Endpoint ger kunderna möjlighet att skicka händelser och aviseringar i realtid från sina instanser när de inträffar i en enda dataström, vilket ger en leveransmekanism med låg svarstid och högt dataflöde.

Händelseinformationen för Defender för Endpoint skickas direkt till Azure Storage för långsiktig datakvarhållning, eller för att Azure Event Hubs för förbrukning av visualiseringstjänster eller andra databehandlingsmotorer.

Mer information finns i API för direktuppspelning av rådata.

Det nya Microsoft Defender XDR Streaming-API:et innehåller e-post- och aviseringshändelser utöver enhetshändelser. Mer information finns i Microsoft Defender XDR Streaming API.

SIEM API

När du aktiverar SIEM-integrering (säkerhetsinformation och händelsehantering) kan du hämta identifieringar från Microsoft Defender XDR med hjälp av SIEM-lösningen eller genom att ansluta direkt till REST-API:et för identifieringar. Detta aktiverar avsnittet siem-anslutningsinformation med förifyllda värden och ett program skapas under din Microsoft Entra klientorganisation.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.