Přehled správy a rozhraní API
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Microsoft Defender for Endpoint
- Microsoft Defender XDR
- Microsoft Defender pro firmy (pro podporované funkce)
Defender for Endpoint podporuje širokou škálu možností nasazení, konfigurace a vytváření sestav, aby zákazníci mohli platformu snadno osvojit. Vzhledem k tomu, že se prostředí a struktury zákazníků můžou lišit, byl defender for Endpoint vytvořen s flexibilitou a podrobnou kontrolou tak, aby vyhovoval různým požadavkům zákazníků. Defender pro firmy poskytuje podobné funkce navržené speciálně pro malé a střední firmy.
Onboarding koncového bodu a přístup k portálu
Onboarding zařízení je plně integrovaný do Microsoft Intune a Microsoft Configuration Manager pro klientská zařízení. Pomocí portálu Microsoft Defender můžete připojit klientská i serverová zařízení. Nebo pro servery můžete použít Defender for Cloud, který se integruje s Defenderem for Endpoint a Defender pro firmy. (Vyžadují se licence serveru. Další informace najdete v tématech Onboarding serverů do Defenderu for Endpoint a Onboarding zařízení k Defender pro firmy.)
Portál Microsoft Defender poskytuje vašemu týmu zabezpečení robustní komplexní prostředí pro konfiguraci, nasazení a monitorování. Kromě toho Microsoft Defender for Endpoint podporuje Zásady skupiny a další nástroje, které nejsou nástroje Microosft, které se používají ke správě zařízení.
Defender for Endpoint poskytuje podrobnou kontrolu nad tím, co uživatelé s přístupem k portálu můžou zobrazit a dělat prostřednictvím flexibility řízení přístupu na základě role (RBAC). Model RBAC podporuje všechny varianty struktury týmů zabezpečení:
- Globálně distribuované organizace a bezpečnostní týmy
- Týmy operací zabezpečení modelů s vrstvenými vrstvami
- Plně oddělené divize s jedním centralizovaným týmem pro globální operace zabezpečení
Dostupná rozhraní API
Defender for Endpoint je postavený na platformě připravené k integraci.
Defender for Endpoint zveřejňuje většinu svých dat a akcí prostřednictvím sady programových rozhraní API. Tato rozhraní API umožňují automatizovat pracovní postupy a inovovat na základě funkcí Defenderu for Endpoint. Pro funkce podporované v Defender pro firmy můžete také použít rozhraní API Defenderu for Endpoint s Defender pro firmy.
Rozhraní API defenderu for Endpoint je možné seskupit do tří:
- rozhraní API Microsoft Defender for Endpoint
- Rozhraní API pro streamování nezpracovaných dat
- Integrace SIEM
rozhraní API Microsoft Defender for Endpoint
Defender for Endpoint nabízí vrstvený model rozhraní API, který vystavuje data a možnosti ve strukturovaném, jasném a snadno použitelném modelu, který je přístupný prostřednictvím standardního modelu ověřování a autorizace založeného na Azure AD, který umožňuje přístup v kontextu uživatelů nebo aplikací SaaS. Model rozhraní API byl navržen tak, aby zpřístupnil entity a možnosti v konzistentní podobě.
Podívejte se na toto video, kde najdete rychlý přehled rozhraní API defenderu for Endpoint.
Rozhraní API pro šetření zpřístupňuje možnosti Defenderu for Endpoint – zveřejňuje počítané nebo "profilované" entity (například zařízení, uživatele a soubory) a diskrétní události (například vytvoření procesu a vytváření souborů), které obvykle popisují chování související s entitou a umožňují přístup k datům prostřednictvím rozhraní pro šetření, která umožňují přístup k datům založeným na dotazech. Další informace najdete v tématu Podporovaná rozhraní API.
Rozhraní API pro odpovědi poskytuje možnost provádět akce ve službě a na zařízeních, což zákazníkům umožňuje ingestovat indikátory, spravovat nastavení, stav výstrah a také programově provádět akce odezvy na zařízeních, jako je izolace zařízení od sítě, karanténa souborů a další.
Rozhraní API pro streamování nezpracovaných dat
Rozhraní API pro streamování nezpracovaných dat v Defenderu for Endpoint poskytuje zákazníkům možnost odesílat události a výstrahy z jejich instancí v reálném čase, když k nim dochází v rámci jednoho datového proudu, a poskytuje tak mechanismus doručování s nízkou latencí a vysokou propustností.
Informace o událostech Defenderu for Endpoint se odsílají přímo do úložiště Azure za účelem dlouhodobého uchovávání dat nebo za účelem Azure Event Hubs pro využití pomocí vizualizačních služeb nebo jiných modulů pro zpracování dat.
Další informace najdete v tématu Rozhraní API pro streamování nezpracovaných dat.
Nové rozhraní API pro streamování Microsoft Defender XDR zahrnuje kromě událostí zařízení také události e-mailu a upozornění. Další informace najdete v tématu rozhraní API pro streamování Microsoft Defender XDR.
SIEM API
Když povolíte integraci správy událostí a informací o zabezpečení (SIEM), můžete vyžádat zjišťování z Microsoft Defender XDR pomocí řešení SIEM nebo připojením přímo k rozhraní REST API pro zjišťování. Tím se aktivuje část podrobností o přístupu ke konektoru SIEM s předem vyplněnými hodnotami a v tenantovi Microsoft Entra se vytvoří aplikace.
Související články
- Přístup k rozhraním API aplikace Microsoft Defender for Endpoint
- Podporovaná rozhraní API
- Příležitosti pro technické partnery
- Zdroje informací pro partnery Microsoftu pracující s malými a středními firmami
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.