使用 图形 API 访问事件通知

适用于:

Defender 专家通知 是 Defender 专家在你的环境中执行搜寻时生成的事件。 它们包含有关搜寻调查的信息,以及 Defender 专家提供的建议行动。 现在可以使用 Microsoft Graph 安全 API 访问 DEN。

注意

Microsoft Defender门户中的任何事件都是相关警报的集合。 了解更多

Microsoft Defender门户中提供了以下 Defender 专家通知详细信息:

  • 事件标题 - 从 Defender 专家 开始,将 Defender 专家通知与其他事件区分开来
  • 执行摘要 - 提供调查摘要的概述
  • 建议摘要 - 列出 Defender 专家的建议操作
  • 高级搜寻查询 - 列出用于调查的已转换 KQL 搜寻查询

在 Microsoft Graph 安全 API 中,还可以使用以下字段:

注意

这些字段将很快在 Graph v1.0 终结点中提供。 有关详细信息,请参阅 Microsoft Graph REST API v1.0

从 API 使用 Defender 专家通知的方法因要使用的下游系统和特定要求而异。 但是,以下步骤是帮助你入门的基本实现:

从图形 API中的事件开始

  1. 从图形安全 API 获取事件。
  2. 检查 displayNameDefender Experts 开头的新事件。
  3. 继续阅读此类事件的剩余字段。
  4. 将 Defender 专家通知 (DEN) 信息同步到下游工具 (ServiceNow) 。

从图形 API中的警报开始

  1. 从图形安全 API 获取警报。
  2. 检查 检测源microsoftThreatExperts 开头的新警报。
  3. 通过检查警报上列出的 incidentId 来查找相应的事件。
  4. 继续阅读此类事件的剩余字段。
  5. 将 Defender 专家通知 (DEN) 信息同步到下游工具 (ServiceNow) 。

后续步骤

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区