使用 图形 API 访问事件通知
适用于:
Defender 专家通知 是 Defender 专家在你的环境中执行搜寻时生成的事件。 它们包含有关搜寻调查的信息,以及 Defender 专家提供的建议行动。 现在可以使用 Microsoft Graph 安全 API 访问 DEN。
注意
Microsoft Defender门户中的任何事件都是相关警报的集合。 了解更多
Microsoft Defender门户中提供了以下 Defender 专家通知详细信息:
- 事件标题 - 从 Defender 专家 开始,将 Defender 专家通知与其他事件区分开来
- 执行摘要 - 提供调查摘要的概述
- 建议摘要 - 列出 Defender 专家的建议操作
- 高级搜寻查询 - 列出用于调查的已转换 KQL 搜寻查询
在 Microsoft Graph 安全 API 中,还可以使用以下字段:
- 图形终结点 - https://graph.microsoft.com/beta/security/incidents
- 与前面提到的详细信息对应的以下 字段名称 :
- displayName
- 说明
- recommendedActions
- recommendedHuntingQueries
注意
这些字段将很快在 Graph v1.0 终结点中提供。 有关详细信息,请参阅 Microsoft Graph REST API v1.0
从 API 使用 Defender 专家通知的方法因要使用的下游系统和特定要求而异。 但是,以下步骤是帮助你入门的基本实现:
从图形 API中的事件开始
- 从图形安全 API 获取事件。
- 检查 displayName 以 Defender Experts 开头的新事件。
- 继续阅读此类事件的剩余字段。
- 将 Defender 专家通知 (DEN) 信息同步到下游工具 (ServiceNow) 。
从图形 API中的警报开始
- 从图形安全 API 获取警报。
- 检查 检测源 以 microsoftThreatExperts 开头的新警报。
- 通过检查警报上列出的 incidentId 来查找相应的事件。
- 继续阅读此类事件的剩余字段。
- 将 Defender 专家通知 (DEN) 信息同步到下游工具 (ServiceNow) 。
后续步骤
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。