Microsoft Defender のアラートを扱うために、Microsoft 365 Defender alerts API(パブリックプレビュー中)の利用がお勧めされています。
これには以下の Defender 製品が含まれており、今後も拡張するとされています。
- Microsoft Defender for Endpoint
- Microsoft Defender for Office 365
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Azure Active Directory Identity Protection
- Microsoft Purview Data Loss Prevention
もし、Microsoft Defender for Endpoint SIEM API を利用していた場合は、今後は非推奨になるため、Microsoft 365 Defender API への移行計画を立てるように促されており、
後半に SIEM API から Microsoft 365 Defender alerts API へのマッピング表が掲載されています。
また、IBM Security QRadar、Splunk SOAR の Microsoft 365 Defender API 対応についても触れられています。
