Freigeben über

Übersicht über die Verwaltung und APIs

  • Artikel

Gilt für:

Defender für Endpunkt unterstützt eine Vielzahl von Bereitstellungs-, Konfigurations- und Berichterstellungsoptionen, um sicherzustellen, dass Kunden die Plattform problemlos übernehmen können. Da die Kundenumgebungen und -strukturen variieren können, wurde Defender für Endpunkt mit Flexibilität und präziser Kontrolle erstellt, um den unterschiedlichen Kundenanforderungen gerecht zu werden. Defender for Business bietet ähnliche Funktionen, die speziell für kleine und mittlere Unternehmen entwickelt wurden.

Endpunkt-Onboarding und Portalzugriff

Das Onboarding von Geräten ist vollständig in Microsoft Intune und Microsoft Configuration Manager für Clientgeräte integriert. Sie können sowohl Client- als auch Servergeräte über das Microsoft Defender-Portal integrieren. Alternativ können Sie für Server Defender für Cloud verwenden, das in Defender für Endpunkt und Defender for Business integriert ist. (Serverlizenzen sind erforderlich. Weitere Informationen finden Sie unter Onboarding von Servern in Defender für Endpunkt und Integrieren von Geräten in Defender for Business.)

Das Microsoft Defender-Portal bietet Ihrem Sicherheitsteam eine stabile End-to-End-Benutzeroberfläche für Konfiguration, Bereitstellung und Überwachung. Darüber hinaus unterstützt Microsoft Defender for Endpoint Gruppenrichtlinie und andere Nicht-Microosft-Tools, die zum Verwalten von Geräten verwendet werden.

Defender für Endpunkt bietet eine präzise Kontrolle darüber, was Benutzer mit Zugriff auf das Portal sehen und tun können, indem die Flexibilität der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) verwendet wird. Das RBAC-Modell unterstützt alle Arten der Struktur von Sicherheitsteams:

  • Global verteilte Organisationen und Sicherheitsteams
  • Mehrstufige Sicherheitsbetriebsteams für Modelle
  • Vollständig getrennte Abteilungen mit einzelnen zentralisierten globalen Sicherheitsbetriebsteams

Verfügbare APIs

Defender für Endpunkt basiert auf einer integrationsfähigen Plattform.

Defender für Endpunkt macht einen Großteil seiner Daten und Aktionen über eine Reihe programmgesteuerter APIs verfügbar. Diese APIs ermöglichen Es Ihnen, Workflows zu automatisieren und Innovationen basierend auf Defender für Endpunkt-Funktionen zu entwickeln. Sie können auch die Defender für Endpunkt-APIs mit Defender for Business für die Funktionen verwenden, die in Defender for Business unterstützt werden.

Die verfügbare API und Integration in Microsoft Defender for Endpoint

Die Defender für Endpunkt-APIs können in drei Gruppen gruppiert werden:

  • Microsoft Defender for Endpoint-APIs
  • API für das Streaming von Rohdaten
  • SIEM-Integration

Microsoft Defender for Endpoint-APIs

Defender für Endpunkt bietet ein mehrstufiges API-Modell, das Daten und Funktionen in einem strukturierten, übersichtlichen und einfach zu verwendenden Modell verfügbar macht, das über ein standardmäßiges Azure AD-basiertes Authentifizierungs- und Autorisierungsmodell verfügbar gemacht wird, das den Zugriff im Kontext von Benutzern oder SaaS-Anwendungen ermöglicht. Das API-Modell wurde entwickelt, um Entitäten und Funktionen in einer konsistenten Form verfügbar zu machen.

Sehen Sie sich dieses Video an, um einen schnellen Überblick über die APIs von Defender für Endpunkt zu erhalten.

Die Untersuchungs-API macht die Fülle von Defender für Endpunkt verfügbar– indem berechnete oder "profilierte" Entitäten (z. B. Gerät, Benutzer und Datei) und diskrete Ereignisse (z. B. Prozesserstellung und Dateierstellung) verfügbar gemacht werden, die in der Regel ein Verhalten im Zusammenhang mit einer Entität beschreiben und den Zugriff auf Daten über Untersuchungsschnittstellen ermöglichen, die einen abfragebasierten Zugriff auf Daten ermöglichen. Weitere Informationen finden Sie unter Unterstützte APIs.

Die Antwort-API macht die Möglichkeit verfügbar, Aktionen im Dienst und auf Geräten auszuführen, sodass Kunden Indikatoren erfassen, Einstellungen verwalten, status warnen und programmgesteuert Reaktionsaktionen auf Geräten ausführen können, z. B. Geräte aus dem Netzwerk isolieren, Dateien unter Quarantäne stellen und andere.

API für das Streaming von Rohdaten

Die Rohdatenstreaming-API von Defender für Endpunkt bietet Kunden die Möglichkeit, Echtzeitereignisse und Warnungen von ihren Instanzen zu versenden, wenn sie innerhalb eines einzelnen Datenstroms auftreten, wodurch ein Übermittlungsmechanismus mit geringer Latenz und hohem Durchsatz bereitgestellt wird.

Die Defender für Endpunkt-Ereignisinformationen werden zur langfristigen Datenaufbewahrung direkt in Azure Storage übertragen oder zur Nutzung durch Visualisierungsdienste oder andere Datenverarbeitungs-Engines Azure Event Hubs.

Weitere Informationen finden Sie unter Streaming-API für Rohdaten.

Die neue Microsoft Defender XDR Streaming-API umfasst neben Geräteereignissen auch E-Mail- und Warnungsereignisse. Weitere Informationen finden Sie unter Microsoft Defender XDR Streaming-API.

SIEM-API

Wenn Sie die Siem-Integration (Security Information and Event Management) aktivieren, können Sie Erkennungen aus Microsoft Defender XDR pullen, indem Sie Ihre SIEM-Lösung verwenden oder eine direkte Verbindung mit der REST-API für Erkennungen herstellen. Dadurch wird der Abschnitt mit den Zugriffsdetails des SIEM-Connectors mit vorab aufgefüllten Werten aktiviert, und unter Ihrem Microsoft Entra Mandanten wird eine Anwendung erstellt.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.