Megosztás a következőn keresztül:

A kezelés és az API-k áttekintése

  • Cikk

Érintett szolgáltatás:

A Végponthoz készült Defender számos különböző üzembe helyezési, konfigurációs és jelentéskészítési lehetőséget támogat, hogy az ügyfelek könnyen átvehassák a platformot. Elismerve, hogy az ügyfélkörnyezetek és -struktúrák eltérőek lehetnek, a Végponthoz készült Defender rugalmasan és részletes vezérléssel lett létrehozva, hogy megfeleljen a különböző ügyfélkövetelményeknek. Defender Vállalati verzió hasonló képességeket nyújt, amelyeket különösen kis- és középvállalkozások számára terveztek.

Végpont előkészítése és a portál elérése

Az eszközök előkészítése teljes mértékben integrálva van az ügyféleszközök Microsoft Intune és Microsoft Configuration Manager. Az ügyfél- és kiszolgálóeszközöket a Microsoft Defender portálon is regisztrálhatja. A kiszolgálók esetében használhatja a Defender for Cloudot, amely integrálható a Végponthoz készült Defenderrel és Defender Vállalati verzió. (Kiszolgálólicencek szükségesek; további információ: Kiszolgálók előkészítése a Végponthoz készült Defenderbe és eszközök előkészítése Defender Vállalati verzió.)

A Microsoft Defender portál robusztus, teljes körű élményt nyújt a biztonsági csapatnak a konfiguráláshoz, az üzembe helyezéshez és a monitorozáshoz. Emellett a Végponthoz készült Microsoft Defender támogatja az eszközök felügyeletéhez használt Csoportházirend és egyéb nem mikroszft eszközök használatát.

A Végponthoz készült Defender részletesen szabályozza, hogy a portálhoz hozzáféréssel rendelkező felhasználók mit láthatnak és mit tehetnek a szerepköralapú hozzáférés-vezérlés (RBAC) rugalmasságával. Az RBAC-modell a biztonsági csapatok struktúrájának minden ízét támogatja:

  • Globálisan elosztott szervezetek és biztonsági csapatok
  • Rétegzett modell biztonsági üzemeltetési csapatai
  • Teljesen elkülönített részlegek egyetlen központosított globális biztonsági üzemeltetési csapattal

Elérhető API-k

A Végponthoz készült Defender egy integrációra kész platformra épül.

A Végponthoz készült Defender programozott API-k segítségével teszi elérhetővé az adatok és műveletek nagy részét. Ezek az API-k lehetővé teszik a munkafolyamatok automatizálását és az innovációt a Végponthoz készült Defender képességei alapján. A Végponthoz készült Defender API-kat Defender Vállalati verzió is használhatja a Defender Vállalati verzió által támogatott képességekhez.

Az elérhető API és integráció a Végponthoz készült Microsoft Defender

A Végponthoz készült Defender API-k három csoportba csoportosíthatók:

  • Végponthoz készült Microsoft Defender API-k
  • Nyers adatstreamelési API
  • SIEM-integráció

Végponthoz készült Microsoft Defender API-k

A Végponthoz készült Defender egy olyan rétegzett API-modellt kínál, amely adatokat és képességeket fed le egy strukturált, egyértelmű és könnyen használható modellben, amely egy szabványos Azure AD-alapú hitelesítési és engedélyezési modellen keresztül érhető el, amely lehetővé teszi a hozzáférést a felhasználók vagy SaaS-alkalmazások kontextusában. Az API-modell úgy lett kialakítva, hogy konzisztens formában tegye elérhetővé az entitásokat és képességeket.

Ebből a videóból gyorsan áttekintheti a Végponthoz készült Defender API-jait.

A Vizsgálati API elérhetővé teszi a Végponthoz készült Defender gazdagságát – a számított vagy "profilkészítési" entitások (például eszköz, felhasználó és fájl) és a különálló események (például folyamat létrehozása és fájllétrehozás) feltárását, amely általában egy entitáshoz kapcsolódó viselkedést ír le, lehetővé téve az adatokhoz való hozzáférést vizsgálati felületeken keresztül, amely lekérdezésalapú hozzáférést biztosít az adatokhoz. További információ: Támogatott API-k.

A Response API lehetővé teszi a műveletek végrehajtását a szolgáltatásban és az eszközökön, lehetővé téve az ügyfelek számára a mutatók betöltését, a beállítások kezelését, a riasztási állapot kezelését, valamint a válaszműveleteket az eszközökön programozott módon, például elkülönítve az eszközöket a hálózattól, karanténfájlokat és egyebeket.

Nyers adatstreamelési API

A Végponthoz készült Defender nyers adatstreamelési API lehetővé teszi az ügyfelek számára, hogy valós idejű eseményeket és riasztásokat küldjenek a példányaikból, amikor egyetlen adatfolyamon belül történnek, alacsony késést és nagy átviteli sebességet biztosító átviteli mechanizmust biztosítva.

A Végponthoz készült Defender eseményinformációi közvetlenül az Azure Storage-ba kerülnek hosszú távú adatmegőrzés céljából, vagy Azure Event Hubs a vizualizációs szolgáltatások vagy más adatfeldolgozási motorok általi felhasználás céljából.

További információ: Nyers adatstreamelési API.

Az új Microsoft Defender XDR Streaming API az eszközesemények mellett e-mailes és riasztási eseményeket is tartalmaz. További információ: Microsoft Defender XDR Streaming API.

SIEM API

Ha engedélyezi a biztonsági információk és az eseménykezelés (SIEM) integrációját, lekérheti az észleléseket Microsoft Defender XDR az SIEM-megoldással, vagy közvetlenül csatlakozhat az észlelések REST API-jához. Ez aktiválja az SIEM-összekötő hozzáférési részletei szakaszt előre kitöltött értékekkel, és létrehoz egy alkalmazást a Microsoft Entra bérlő alatt.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.