Partager via

Vue d’ensemble de la gestion et des API

  • Article

S’applique à :

Defender pour point de terminaison prend en charge un large éventail d’options de déploiement, de configuration et de création de rapports pour garantir que les clients peuvent facilement adopter la plateforme. Reconnaissant que les structures et les environnements des clients peuvent varier, Defender pour point de terminaison a été créé avec flexibilité et un contrôle granulaire pour répondre aux différentes exigences des clients. Defender for Business offre des fonctionnalités similaires, conçues spécialement pour les petites et moyennes entreprises.

Intégration des points de terminaison et accès au portail

L’intégration des appareils est entièrement intégrée à Microsoft Intune et Microsoft Configuration Manager pour les appareils clients. Vous pouvez intégrer des appareils client et serveur à l’aide du portail Microsoft Defender. Ou, pour les serveurs, vous pouvez utiliser Defender pour le cloud, qui s’intègre à Defender pour point de terminaison et Defender for Business. (Des licences de serveur sont requises ; pour plus d’informations, consultez Intégrer des serveurs à Defender pour point de terminaison et Intégrer des appareils à Defender for Business.)

Le portail Microsoft Defender fournit à votre équipe de sécurité une expérience robuste de bout en bout pour la configuration, le déploiement et la surveillance. En outre, Microsoft Defender pour point de terminaison prend en charge stratégie de groupe et d’autres outils non-Microosft utilisés pour la gestion des appareils.

Defender pour point de terminaison fournit un contrôle précis sur ce que les utilisateurs ayant accès au portail peuvent voir et faire grâce à la flexibilité du contrôle d’accès en fonction du rôle (RBAC). Le modèle RBAC prend en charge toutes les versions de la structure des équipes de sécurité :

  • Organisations et équipes de sécurité distribuées à l’échelle mondiale
  • Équipes d’opérations de sécurité de modèle hiérarchisé
  • Divisions entièrement séparées avec des équipes d’opérations de sécurité globales centralisées uniques

API disponibles

Defender pour point de terminaison repose sur une plateforme prête pour l’intégration.

Defender pour point de terminaison expose la plupart de ses données et actions par le biais d’un ensemble d’API programmatiques. Ces API vous permettent d’automatiser les workflows et d’innover en fonction des fonctionnalités de Defender pour point de terminaison. Vous pouvez également utiliser les API Defender pour point de terminaison avec Defender for Business pour les fonctionnalités prises en charge dans Defender for Business.

API et intégration disponibles dans Microsoft Defender pour point de terminaison

Les API Defender pour point de terminaison peuvent être regroupées en trois :

  • API Microsoft Defender pour point de terminaison
  • API de diffusion en continu de données brutes
  • Intégration SIEM

API Microsoft Defender pour point de terminaison

Defender pour point de terminaison offre un modèle d’API en couches exposant les données et les fonctionnalités dans un modèle structuré, clair et facile à utiliser, exposé via un modèle d’authentification et d’autorisation basé sur Azure AD standard permettant l’accès dans le contexte d’utilisateurs ou d’applications SaaS. Le modèle d’API a été conçu pour exposer des entités et des fonctionnalités sous une forme cohérente.

Regardez cette vidéo pour obtenir une vue d’ensemble rapide des API de Defender pour point de terminaison.

L’API Investigation expose la richesse de Defender pour point de terminaison, en exposant des entités calculées ou « profilées » (par exemple, appareil, utilisateur et fichier) et des événements discrets (par exemple, création de processus et création de fichiers) qui décrivent généralement un comportement lié à une entité, permettant l’accès aux données via des interfaces d’investigation permettant un accès aux données basé sur une requête. Pour plus d’informations, consultez API prises en charge.

L’API Response expose la possibilité d’effectuer des actions dans le service et sur les appareils, ce qui permet aux clients d’ingérer des indicateurs, de gérer les paramètres, d’alerter status, ainsi que d’effectuer des actions de réponse sur les appareils par programmation, telles que l’isolation des appareils du réseau, la mise en quarantaine des fichiers, etc.

API de diffusion en continu de données brutes

L’API de diffusion en continu de données brutes Defender pour point de terminaison offre aux clients la possibilité d’envoyer des événements et des alertes en temps réel à partir de leurs instances à mesure qu’ils se produisent dans un seul flux de données, fournissant un mécanisme de remise à faible latence et à débit élevé.

Les informations d’événement Defender pour point de terminaison sont envoyées directement au stockage Azure pour la conservation à long terme des données, ou pour Azure Event Hubs pour être consommées par les services de visualisation ou d’autres moteurs de traitement des données.

Pour plus d’informations, consultez API de streaming de données brutes.

La nouvelle API de streaming Microsoft Defender XDR inclut des événements d’e-mail et d’alerte en plus des événements d’appareil. Pour plus d’informations, consultez API de streaming Microsoft Defender XDR.

SIEM API

Lorsque vous activez l’intégration des informations de sécurité et de la gestion des événements (SIEM), vous pouvez extraire les détections de Microsoft Defender XDR à l’aide de votre solution SIEM ou en vous connectant directement à l’API REST des détections. Cela active la section détails d’accès du connecteur SIEM avec des valeurs préremplies et une application est créée sous votre locataire Microsoft Entra.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.