Microsoft ouvre Defender ATP aux applications tierces

Les interfaces (API) de Defender ATP sont désormais ouvertes à tous. Comme l’explique Microsoft dans un billet de blog, ces APIs doivent permettre « aux clients d’intégrer et d’orchestrer leurs défenses au sein de leur pile de solutions et de systèmes d’administration », et cela afin de « répondre efficacement aux menaces modernes ». Car ces interfaces doivent ouvrir la voie « au développement d’applications à façon, et à l’intégration avec des outils et des processus existants », avec notamment, les systèmes de gestion des informations et des événements de sécurité (SIEM), les systèmes de gestion de tickets et de service IT (ITSM), les outils d’orchestration et d’automatisation de la sécurité (SOAR), ou encore des outils d’investigation et de corrélation d’indicateurs de compromission (IoC).

Et l’éditeur n’a pas été chiche dans la conception de ces interfaces. Au menu, on trouve ainsi une API centrée sur l’investigation, une autre sur la réponse aux menaces – avec actions sur les hôtes ou encore corrélation d’indicateurs –, ainsi qu’une troisième permettant de créer des flux de données brutes bidirectionnels autour d’alertes, d’entrées de registre, d’informations sur les machines, les connexions et interfaces réseau, les ouvertures de sessions, les créations de fichiers et de processus, etc.

Dans sa documentation technique, Microsoft propose plusieurs exemples d’utilisation des API de Defender ATP, par exemple pour partir à la chasse aux menaces avec Powershell et Python, créer des alertes personnalisées, ou encore configurer une intégration avec Splunk et ArchSight.

L’accès aux API de Defender ATP est encadré par un modèle d’utilisateurs et de permission basé sur Azure Active Directory (AAD), et une authentification OAuth 2.0. Les appels peuvent survenir dans un contexte utilisateur ou application. C’est ce dernier qui est le plus chaudement recommandé car il permet d’exploiter les APIs en tâche de fond, sans session utilisateur active.