Udostępnij za pośrednictwem

Przegląd zarządzania i interfejsów API

  • Artykuł

Dotyczy:

Usługa Defender for Endpoint obsługuje szeroką gamę opcji wdrażania, konfiguracji i raportowania, aby zapewnić klientom możliwość łatwego wdrożenia platformy. Uznając, że środowiska i struktury klientów mogą się różnić, usługa Defender for Endpoint została utworzona z elastycznością i szczegółową kontrolą w celu dopasowania do różnych wymagań klientów. Defender dla Firm oferuje podobne możliwości, zaprojektowane specjalnie dla małych i średnich firm.

Dołączanie punktu końcowego i dostęp do portalu

Dołączanie urządzeń jest w pełni zintegrowane z Microsoft Intune i Microsoft Configuration Manager dla urządzeń klienckich. Urządzenia klienckie i serwerowe można dołączyć przy użyciu portalu Microsoft Defender. W przypadku serwerów można również użyć usługi Defender for Cloud, która integruje się z usługą Defender for Endpoint i Defender dla Firm. (Licencje serwera są wymagane; aby uzyskać więcej informacji, zobacz Dołączanie serwerów do usługi Defender dla punktów końcowych i dołączanie urządzeń do Defender dla Firm).

Portal Microsoft Defender zapewnia zespołowi ds. zabezpieczeń niezawodne, kompleksowe środowisko konfiguracji, wdrażania i monitorowania. Ponadto Ochrona punktu końcowego w usłudze Microsoft Defender obsługuje zasady grupy i inne narzędzia inne niż Microosft używane do zarządzania urządzeniami.

Usługa Defender for Endpoint zapewnia szczegółową kontrolę nad tym, co użytkownicy z dostępem do portalu mogą wyświetlać i wykonywać dzięki elastyczności kontroli dostępu opartej na rolach (RBAC). Model RBAC obsługuje wszystkie smaki struktury zespołów zabezpieczeń:

  • Globalnie rozproszone organizacje i zespoły ds. zabezpieczeń
  • Zespoły operacji zabezpieczeń modelu warstwowego
  • W pełni segregowane działy z pojedynczymi scentralizowanymi zespołami ds. globalnych operacji zabezpieczeń

Dostępne interfejsy API

Usługa Defender for Endpoint jest oparta na platformie gotowej do integracji.

Usługa Defender for Endpoint uwidacznia wiele swoich danych i akcji za pośrednictwem zestawu programowych interfejsów API. Te interfejsy API umożliwiają automatyzowanie przepływów pracy i wprowadzanie innowacji w oparciu o możliwości usługi Defender for Endpoint. Możesz również użyć interfejsów API usługi Defender for Endpoint z Defender dla Firm na potrzeby możliwości obsługiwanych w Defender dla Firm.

Dostępny interfejs API i integracja w Ochrona punktu końcowego w usłudze Microsoft Defender

Interfejsy API usługi Defender for Endpoint można pogrupować na trzy:

  • interfejsy API Ochrona punktu końcowego w usłudze Microsoft Defender
  • Interfejs API przesyłania strumieniowego nieprzetworzonych danych
  • Integracja zarządzania informacjami i zdarzeniami zabezpieczeń

interfejsy API Ochrona punktu końcowego w usłudze Microsoft Defender

Usługa Defender for Endpoint oferuje warstwowy model interfejsu API uwidaczniający dane i możliwości w ustrukturyzowanym, przejrzystym i łatwym w użyciu modelu uwidocznianym za pośrednictwem standardowego modelu uwierzytelniania i autoryzacji opartego na Azure AD, umożliwiającego dostęp w kontekście użytkowników lub aplikacji SaaS. Model interfejsu API został zaprojektowany tak, aby uwidoczniać jednostki i możliwości w spójnej formie.

Obejrzyj to wideo, aby zapoznać się z krótkim omówieniem interfejsów API usługi Defender for Endpoint.

Interfejs API badania uwidacznia rozbudowę usługi Defender for Endpoint — uwidaczniania jednostek obliczeniowych lub "profilowanych" (na przykład urządzenia, użytkownika i pliku) oraz dyskretnych zdarzeń (na przykład tworzenia procesów i tworzenia plików), które zwykle opisują zachowanie związane z jednostką, umożliwiając dostęp do danych za pośrednictwem interfejsów badania umożliwiających dostęp do danych oparty na zapytaniach. Aby uzyskać więcej informacji, zobacz Obsługiwane interfejsy API.

Interfejs API odpowiedzi uwidacznia możliwość podejmowania akcji w usłudze i na urządzeniach, umożliwiając klientom pozyskiwanie wskaźników, zarządzanie ustawieniami, stan alertów, a także programowe wykonywanie akcji reagowania na urządzeniach, takich jak izolowanie urządzeń od sieci, plików kwarantanny i innych.

Interfejs API przesyłania strumieniowego nieprzetworzonych danych

Interfejs API przesyłania strumieniowego nieprzetworzonych danych usługi Defender for Endpoint umożliwia klientom wysyłanie z ich wystąpień zdarzeń i alertów w czasie rzeczywistym w miarę ich występowania w ramach pojedynczego strumienia danych, zapewniając mechanizm dostarczania o małych opóźnieniach i wysokiej przepływności.

Informacje o zdarzeniach usługi Defender for Endpoint są wypychane bezpośrednio do usługi Azure Storage w celu długoterminowego przechowywania danych lub do Azure Event Hubs do użycia przez usługi wizualizacji lub inne aparaty przetwarzania danych.

Aby uzyskać więcej informacji, zobacz Interfejs API przesyłania strumieniowego nieprzetworzonych danych.

Nowy interfejs API przesyłania strumieniowego Microsoft Defender XDR obejmuje zdarzenia poczty e-mail i alertów oprócz zdarzeń urządzenia. Aby uzyskać więcej informacji, zobacz Microsoft Defender XDR Interfejs API przesyłania strumieniowego.

SIEM API

Po włączeniu integracji informacji o zabezpieczeniach i zarządzania zdarzeniami (SIEM) można ściągać wykrywania z Microsoft Defender XDR przy użyciu rozwiązania SIEM lub łącząc się bezpośrednio z interfejsem API REST wykrywania. Spowoduje to aktywowanie sekcji szczegółów dostępu łącznika SIEM ze wstępnie wypełnionymi wartościami, a aplikacja jest tworzona w ramach dzierżawy Microsoft Entra.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.