Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La transizione dall'agente SIEM Defender for Cloud Apps legacy alle API supportate consente l'accesso continuo alle attività arricchite e ai dati degli avvisi. Anche se le API potrebbero non avere mapping uno-a-uno esatti allo schema CEF (Common Event Format) legacy, forniscono dati completi e avanzati tramite l'integrazione tra più carichi di lavoro Microsoft Defender.
API consigliate per la migrazione
Per garantire la continuità e l'accesso ai dati attualmente disponibili tramite Microsoft Defender for Cloud Apps agenti SIEM, è consigliabile passare alle API supportate seguenti:
- Per avvisi e attività, vedere: MICROSOFT DEFENDER XDR API streaming.
- Per Microsoft Entra ID Protection eventi di accesso, vedere la tabella IdentityLogonEvents nello schema di ricerca avanzata.
- Per l'API Avvisi di sicurezza di Microsoft Graph, vedere: Elenco alerts_v2
- Per visualizzare i dati degli avvisi Microsoft Defender for Cloud Apps nell'API eventi imprevisti Microsoft Defender XDR, vedere API eventi imprevisti Microsoft Defender XDR e tipo di risorsa eventi imprevisti
Mapping dei campi da SIEM legacy a API supportate
La tabella seguente confronta i campi CEF dell'agente SIEM legacy con i campi equivalenti più vicini nell'API di streaming Defender XDR (schema degli eventi di ricerca avanzata) e nell'API Avvisi di sicurezza di Microsoft Graph.
| Campo CEF (MDA SIEM) | Descrizione | API di streaming Defender XDR (CloudAppEvents/AlertEvidence/AlertInfo) | API Graph Security Alerts (v2) |
|---|---|---|---|
start |
Timestamp attività o avviso | Timestamp |
firstActivityDateTime |
end |
Timestamp attività o avviso | Nessuno | lastActivityDateTime |
rt |
Timestamp attività o avviso | createdDateTime |
createdDateTime / lastUpdateDateTime / resolvedDateTime |
msg |
Descrizione dell'avviso o dell'attività come illustrato nel portale in un formato leggibile | I campi strutturati più vicini che contribuiscono a una descrizione simile: actorDisplayName, ObjectName, , ActionType, ActivityType |
description |
suser |
Utente soggetto di attività o avviso |
AccountObjectId, AccountId, AccountDisplayName |
Vedere tipo userEvidence di risorsa |
destinationServiceName |
Attività o avviso dall'app di origine (ad esempio, SharePoint, Box) | CloudAppEvents > Application |
Vedere tipo cloudApplicationEvidence di risorsa |
cs<X>Label, cs<X> |
Campi dinamici di avviso o attività (ad esempio, utente di destinazione, oggetto) |
Entities, Evidence, additionalData, ActivityObjects |
Vari alertEvidence tipi di risorse |
EVENT_CATEGORY_* |
Categoria di attività di alto livello | ActivityType / ActionType |
category |
<name> |
Nome criterio corrispondente |
Title, alertPolicyId |
Title, alertPolicyId |
<ACTION> (Attività) |
Tipo di attività specifico | ActionType |
N/D |
externalId (Attività) |
ID evento | ReportId |
N/D |
requestClientApplication (attività) |
Agente utente del dispositivo client nelle attività | UserAgent |
N/D |
Dvc (attività) |
IP del dispositivo client | IPAddress |
N/D |
externalId (Avviso) |
ID avviso | AlertId |
id |
<alert type> |
Tipo di avviso (ad esempio, ALERT_CABINET_EVENT_MATCH_AUDI) | - | - |
Src
/
c6a1 (avvisi) |
IP di origine | IPAddress |
ipEvidence tipo di risorsa |