通过

从 Defender for Cloud Apps SIEM 代理迁移到支持的 API

从旧Defender for Cloud Apps SIEM 代理转换到支持的 API,可以继续访问扩充的活动和警报数据。 虽然 API 可能没有与 CEF) 架构的旧版通用事件格式 (完全一对一的映射,但它们通过跨多个Microsoft Defender工作负载的集成提供全面的增强数据。

为了确保对当前通过 Microsoft Defender for Cloud Apps SIEM 代理提供的数据的连续性和访问权限,我们建议转换为以下受支持的 API:

从旧版 SIEM 到支持的 API 的字段映射

下表比较了旧版 SIEM 代理的 CEF 字段与Defender XDR流式处理 API 中最近的等效字段, (高级搜寻事件架构) 和 Microsoft Graph 安全警报 API。

CEF 字段 (MDA SIEM) 说明 Defender XDR流式处理 API (CloudAppEvents/AlertEvidence/AlertInfo) 图形安全警报 API (v2)
start 活动或警报时间戳 Timestamp firstActivityDateTime
end 活动或警报时间戳 None lastActivityDateTime
rt 活动或警报时间戳 createdDateTime createdDateTime / lastUpdateDateTime / resolvedDateTime
msg 警报或活动说明,如门户中所示,采用人工可读格式 有助于类似描述的最接近的结构化字段: actorDisplayNameObjectNameActionTypeActivityType description
suser 活动或警报主题用户 AccountObjectId, AccountId, AccountDisplayName 请参阅 userEvidence 资源类型
destinationServiceName 来自原始应用程序的活动或警报 (,例如 SharePoint、Box) CloudAppEvents > Application 请参阅 cloudApplicationEvidence 资源类型
cs<X>Label, cs<X> 警报或活动动态字段 (例如目标用户、对象) Entities, Evidence, additionalData, ActivityObjects 各种 alertEvidence 资源类型
EVENT_CATEGORY_* 高级活动类别 ActivityType / ActionType category
<name> 匹配的策略名称 Title, alertPolicyId Title, alertPolicyId
<ACTION> (活动) 特定活动类型 ActionType 不适用
externalId (活动) 事件 ID ReportId 不适用
requestClientApplication (活动) 活动中客户端设备的用户代理 UserAgent 不适用
Dvc (活动) 客户端设备 IP IPAddress 不适用
externalId (警报) 警报 ID AlertId id
<alert type> 警报类型 (例如,ALERT_CABINET_EVENT_MATCH_AUDI) - -
Src / c6a1 (警报) 源 IP IPAddress ipEvidence 资源类型

相关内容