Поделиться через

Обзор управления и интерфейсов API

  • Статья

Область применения:

Defender для конечной точки поддерживает широкий спектр вариантов развертывания, конфигурации и создания отчетов, чтобы клиенты могли легко внедрить платформу. Учитывая, что среды и структуры клиентов могут отличаться, Defender для конечной точки был создан с гибкостью и детальным контролем в соответствии с различными требованиями клиентов. Defender для бизнеса предоставляет аналогичные возможности, разработанные специально для малого и среднего бизнеса.

Подключение к конечной точке и доступ к порталу

Подключение устройств полностью интегрировано в Microsoft Intune и Microsoft Configuration Manager для клиентских устройств. Вы можете подключить клиентские и серверные устройства с помощью портала Microsoft Defender. Кроме того, для серверов можно использовать Defender для облака, который интегрируется с Defender для конечной точки и Defender для бизнеса. (Требуются серверные лицензии. Дополнительные сведения см. в разделе Подключение серверов к Defender для конечной точки и подключение устройств к Defender для бизнеса.)

Портал Microsoft Defender предоставляет вашей группе безопасности надежный комплексный интерфейс для настройки, развертывания и мониторинга. Кроме того, Microsoft Defender для конечной точки поддерживает групповая политика и другие средства, не относящиеся к Microosft, используемые для управления устройствами.

Defender для конечной точки обеспечивает точный контроль над тем, что пользователи с доступом к порталу могут видеть и делать, благодаря гибкости управления доступом на основе ролей (RBAC). Модель RBAC поддерживает все разновидности структуры групп безопасности:

  • Глобально распределенные организации и группы безопасности
  • Группы по обеспечению безопасности многоуровневой модели
  • Полностью сегрегированные подразделения с едиными централизованными группами по обеспечению безопасности

Доступные API

Defender для конечной точки создан на основе платформы, готовой к интеграции.

Defender для конечной точки предоставляет большую часть своих данных и действий с помощью набора программных API. Эти API позволяют автоматизировать рабочие процессы и внедрять инновации на основе возможностей Defender для конечной точки. Вы также можете использовать API Defender для конечной точки с Defender для бизнеса для возможностей, поддерживаемых в Defender для бизнеса.

Доступный API и интеграция в Microsoft Defender для конечной точки

API Defender для конечной точки можно сгруппировать в три:

  • API Microsoft Defender для конечной точки
  • API потоковой передачи необработанных данных
  • Интеграция SIEM

API Microsoft Defender для конечной точки

Defender для конечной точки предлагает многоуровневую модель API, предоставляющую данные и возможности в структурированной, понятной и простой в использовании модели, предоставляемой через стандартную модель проверки подлинности и авторизации на основе Azure AD, предоставляющую доступ в контексте пользователей или приложений SaaS. Модель API предназначена для предоставления сущностей и возможностей в согласованной форме.

Просмотрите это видео, чтобы просмотреть краткий обзор API Defender для конечной точки.

API исследования предоставляет широкие возможности Defender для конечной точки , предоставляя вычисляемые или профилированные сущности (например, устройства, пользователя и файла) и дискретные события (например, создание процесса и создание файлов), которые обычно описывают поведение, связанное с сущностью, предоставляя доступ к данным через интерфейсы исследования, предоставляющие доступ к данным на основе запросов. Дополнительные сведения см. в разделе Поддерживаемые API.

API ответа предоставляет возможность выполнять действия в службе и на устройствах, позволяя клиентам принимать индикаторы, управлять параметрами, состоянием оповещений, а также выполнять действия по реагированию на устройствах программным способом, например изолировать устройства от сети, помещать в карантин файлы и т. д.

API потоковой передачи необработанных данных

API потоковой передачи необработанных данных Defender для конечной точки позволяет клиентам отправлять события и оповещения в режиме реального времени из своих экземпляров по мере их возникновения в одном потоке данных, обеспечивая механизм доставки с низкой задержкой и высокой пропускной способностью.

Сведения о событиях Defender для конечной точки передаются непосредственно в хранилище Azure для долгосрочного хранения данных или в Центры событий Azure для использования службами визуализации или другими обработчиками обработки данных.

Дополнительные сведения см. в разделе API потоковой передачи необработанных данных.

Новый API потоковой передачи Microsoft Defender XDR включает в себя события электронной почты и оповещений в дополнение к событиям устройства. Дополнительные сведения см. в разделе API потоковой передачи Microsoft Defender XDR.

SIEM API

При включении интеграции с информационной безопасностью и событиями безопасности (SIEM) можно извлекать обнаружения из Microsoft Defender XDR с помощью решения SIEM или путем прямого подключения к REST API обнаружения. Это активирует раздел сведений о доступе к соединителю SIEM с предварительно заполненными значениями, и приложение создается в клиенте Microsoft Entra.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.