다음을 통해 공유

Defender for Cloud Apps SIEM 에이전트에서 지원되는 API로 마이그레이션

레거시 Defender for Cloud Apps SIEM 에이전트 에서 지원되는 API로 전환하면 보강된 활동 및 경고 데이터에 지속적으로 액세스할 수 있습니다. API는 레거시 CEF(Common Event Format) 스키마에 대한 정확한 일대일 매핑이 없을 수 있지만 여러 Microsoft Defender 워크로드에서 통합을 통해 포괄적이고 향상된 데이터를 제공합니다.

Microsoft Defender for Cloud Apps SIEM 에이전트를 통해 현재 사용할 수 있는 데이터에 대한 연속성과 액세스를 보장하려면 지원되는 다음 API로 전환하는 것이 좋습니다.

레거시 SIEM에서 지원되는 API로 필드 매핑

아래 표에서는 레거시 SIEM 에이전트의 CEF 필드를 Defender XDR 스트리밍 API(고급 헌팅 이벤트 스키마) 및 Microsoft Graph 보안 경고 API에서 가장 가까운 해당 필드와 비교합니다.

CEF 필드(MDA SIEM) 설명 Defender XDR 스트리밍 API(CloudAppEvents/AlertEvidence/AlertInfo) Graph 보안 경고 API(v2)
start 활동 또는 경고 타임스탬프 Timestamp firstActivityDateTime
end 활동 또는 경고 타임스탬프 없음 lastActivityDateTime
rt 활동 또는 경고 타임스탬프 createdDateTime createdDateTime / lastUpdateDateTime / resolvedDateTime
msg 포털에서 사람이 읽을 수 있는 형식으로 표시된 경고 또는 활동 설명 유사한 설명actorDisplayName에 기여하는 가장 가까운 구조화된 필드입니다. , , ObjectName, ActionTypeActivityType description
suser 활동 또는 경고 주체 사용자 AccountObjectId, AccountId, AccountDisplayName 리소스 종류 참조 userEvidence
destinationServiceName 원래 앱의 활동 또는 경고(예: SharePoint, Box) CloudAppEvents > Application 리소스 종류 참조 cloudApplicationEvidence
cs<X>Label, cs<X> 경고 또는 활동 동적 필드(예: 대상 사용자, 개체) Entities, Evidence, additionalData, ActivityObjects 다양한 alertEvidence 리소스 종류
EVENT_CATEGORY_* 상위 수준 작업 범주 ActivityType / ActionType category
<name> 일치하는 정책 이름 Title, alertPolicyId Title, alertPolicyId
<ACTION> (활동) 특정 활동 유형 ActionType 해당 없음
externalId (활동) 이벤트 ID ReportId 해당 없음
requestClientApplication (활동) 작업에서 클라이언트 디바이스의 사용자 에이전트 UserAgent 해당 없음
Dvc (활동) 클라이언트 디바이스 IP IPAddress 해당 없음
externalId (경고) 경고 ID AlertId id
<alert type> 경고 유형(예: ALERT_CABINET_EVENT_MATCH_AUDI) - -
Src / c6a1 (경고) 원본 IP IPAddress ipEvidence 리소스 종류

관련 콘텐츠