Få åtkomst till incidentmeddelanden med hjälp av Graph API

Gäller för:

• Microsoft Defender XDR

Meddelanden från Defender-experter är incidenter som har genererats från jakt som utförs av Defender-experter i din miljö. De innehåller information om jaktutredningen och rekommenderade åtgärder från Defender-experter. Nu kan du komma åt DEN med hjälp av Säkerhets-API:et för Microsoft Graph.

Obs!

Alla incidenter i Microsoft Defender-portalen är en samling korrelerade aviseringar. Läs mer

Följande meddelandeinformation om Defender-experter finns i Microsoft Defender-portalen:

• Incidenttitel – börjar med Defender-experter för att skilja Defender-experter från andra incidenter
• Sammanfattning – ger en översikt över undersökningssammanfattningen
• Rekommendationssammanfattning – visar rekommenderade åtgärder från Defender-experter
• Avancerade jaktfrågor – visar de konverterade KQL-jaktfrågor som används för undersökningen

I Säkerhets-API för Microsoft Graph är följande fält också tillgängliga:

• Grafslutpunkt - https://graph.microsoft.com/beta/security/incidents
• Följande fältnamn som motsvarar informationen som nämnts tidigare:
  • visningsNamn
  • beskrivning
  • recommendedActions
  • recommendedHuntingQueries

Obs!

Dessa fält kommer snart att vara tillgängliga i Graph v1.0-slutpunkten. Mer information finns i Microsoft Graph REST API v1.0

Din metod för att använda Defender-experters meddelanden från API:et varierar beroende på vilket nedströmssystem du tänker använda och dina specifika krav. Följande steg är dock en grundläggande implementering som hjälper dig att komma igång:

Från incidenter i Graph API

1. Hämta incidenter från Graph Security API.
2. Sök efter nya incidenter där displayName börjar med Defender-experter.
3. Fortsätt att läsa de återstående fälten för sådana incidenter.
4. Synkronisera informationen om Defender Experts Notification (DEN) i ditt underordnade verktyg (till exempel ServiceNow).

Starta från aviseringar i Graph API

1. Hämta aviseringar från Graph Security API.
2. Sök efter nya aviseringar där detectionSource börjar med microsoftThreatExperts.
3. Leta upp motsvarande incident genom att kontrollera incident-ID :et som anges i aviseringen.
4. Fortsätt att läsa de återstående fälten för sådana incidenter.
5. Synkronisera informationen om Defender Experts Notification (DEN) i ditt underordnade verktyg (till exempel ServiceNow).

Nästa steg

• Samarbeta med experter på begäran

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.