Verwenden der Microsoft Graph-Sicherheits-API

Die Microsoft Graph-Sicherheits-API bietet eine einheitliche Schnittstelle und ein einheitliches Schema für die Integration in Sicherheitslösungen von Microsoft und Ökosystempartnern. Auf diese Weise können Kunden Sicherheitsvorgänge optimieren und sich besser vor zunehmenden Cyberbedrohungen schützen. Die Microsoft Graph-Sicherheits-API verknüpft Abfragen mit allen integrierten Sicherheitsanbietern und aggregiert Antworten. Verwenden Sie die Microsoft Graph-Sicherheits-API, um Anwendungen zu erstellen, die:

  • Konsolidieren und korrelieren Sie Sicherheitswarnungen aus mehreren Quellen.
  • Pullen und Untersuchen aller Vorfälle und Warnungen von Diensten, die Teil von Microsoft 365 Defender sind oder in microsoft 365 Defender integriert sind.
  • Die Sperrung kontextbezogener Daten aufheben, um Untersuchungen zu ermöglichen.
  • Automatisieren von Sicherheitsaufgaben, Geschäftsprozessen, Workflows und Berichterstellung
  • Senden sie Bedrohungsindikatoren an Microsoft-Produkte, um angepasste Erkennungen zu ermöglichen.
  • Aufrufen von Aktionen für als Reaktion auf neue Bedrohungen.
  • Bieten Sie Einblick in Sicherheitsdaten, um ein proaktives Risikomanagement zu ermöglichen.

Die Microsoft Graph-Sicherheits-API bietet wichtige Features, wie in den folgenden Abschnitten beschrieben.

Erweiterte Bedrohungssuche

Die erweiterte Suche ist ein abfragebasiertes Tool zur Bedrohungssuche, mit dem Sie rohe Daten von bis zu 30 Tagen untersuchen können. Sie können Ereignisse in Ihrem Netzwerk proaktiv prüfen, um Bedrohungsindikatoren und -entitäten zu ermitteln. Der flexible Zugriff auf Daten ermöglicht die uneingeschränkte Suche nach bekannten und potenziellen Bedrohungen.

Verwenden Sie runHuntingQuery, um eine Kusto-Abfragesprache-Abfrage (KQL) für daten auszuführen, die in Microsoft 365 Defender gespeichert sind. Nutzen Sie das zurückgegebene Resultset, um eine vorhandene Untersuchung anzureichern oder um unerkannte Bedrohungen in Ihrem Netzwerk aufzudecken.

Kontingente und Ressourcenzuordnung

Die folgenden Bedingungen beziehen sich auf alle Abfragen.

  1. Abfragen untersuchen und geben Daten der letzten 30 Tage zurück.
  2. Ergebnisse können bis zu 100.000 Zeilen zurückgeben.
  3. Sie können bis zu mindestens 45 Anrufe pro Minute und Mandant tätigen. Die Anzahl der Anrufe variiert je nach Mandant je nach Größe.
  4. Jedem Mandanten werden CPU-Ressourcen basierend auf der Mandantengröße zugeordnet. Abfragen werden blockiert, wenn der Mandant 100 % der zugeordneten Ressourcen bis nach dem nächsten 15-Minütigen Zyklus erreicht hat. Um blockierte Abfragen aufgrund von übermäßigem Verbrauch zu vermeiden, befolgen Sie die Anleitung unter Optimieren Ihrer Abfragen, um cpu-Kontingente zu vermeiden.
  5. Wenn eine einzelne Anforderung länger als drei Minuten ausgeführt wird, tritt ein Zeitüberschreitung auf und es wird ein Fehler zurückgegeben.
  6. Ein 429 HTTP-Antwortcode gibt an, dass Sie die zugeordneten CPU-Ressourcen erreicht haben, entweder anhand der Anzahl der gesendeten Anforderungen oder aufgrund der zugewiesenen Laufzeit. Lesen Sie den Antworttext, um den Grenzwert zu verstehen, den Sie erreicht haben.

Warnungen

Warnungen sind detaillierte Warnungen zu verdächtigen Aktivitäten im Mandanten eines Kunden, die Microsoft oder Partnersicherheitsanbieter identifiziert und für Aktionen gekennzeichnet haben. Angriffe verwenden in der Regel verschiedene Techniken gegen verschiedene Arten von Entitäten, z. B. Geräte, Benutzer und Postfächer. Das Ergebnis sind Warnungen von mehreren Sicherheitsanbietern für mehrere Entitäten im Mandanten. Das Zusammenfügen der einzelnen Warnungen, um Einblicke in einen Angriff zu erhalten, kann schwierig und zeitaufwändig sein.

Die Sicherheits-API bietet zwei Arten von Warnungen, die andere Warnungen von Sicherheitsanbietern aggregieren und die Analyse von Angriffen und die Ermittlung der Reaktion vereinfachen:

  • Warnungen und Vorfälle: Dies ist die neueste Generation von Warnungen in der Microsoft Graph-Sicherheits-API. Sie werden durch die Warnungsressource und deren Sammlung, Incidentressource , dargestellt, die microsoft.graph.security im Namespace definiert sind.
  • Legacywarnungen : Dies sind die erste Generation von Warnungen in der Microsoft Graph-Sicherheits-API. Sie werden durch die im Namespace definierte Warnungsressource microsoft.graph dargestellt.

Warnungen und Vorfälle

Diese Warnungsressourcen rufen zuerst Warnungsdaten von Sicherheitsanbieterdiensten ab, die teil von Microsoft 365 Defender sind oder in diese integriert sind. Anschließend nutzen sie die Daten, um wertvolle Hinweise auf einen abgeschlossenen oder laufenden Angriff, die betroffenen Ressourcen und zugehörige Beweise zurückzugeben. Darüber hinaus korrelieren sie automatisch andere Warnungen mit den gleichen Angriffstechniken oder demselben Angreifer in einen Incident , um einen breiteren Kontext eines Angriffs bereitzustellen. Sie empfehlen Reaktions- und Wiederherstellungsaktionen, die eine konsistente Umsetzbarkeit für alle verschiedenen Anbieter bieten. Die umfangreichen Inhalte erleichtern es Analysten, gemeinsam Bedrohungen zu untersuchen und darauf zu reagieren.

Warnungen von den folgenden Sicherheitsanbietern sind über diese umfangreichen Warnungen und Vorfälle verfügbar:

Legacywarnungen

Diese Warnungsressourcen bilden einen Verbundaufruf von unterstützten Azure- und Microsoft 365 Defender-Sicherheitsanbietern. Sie aggregieren allgemeine Warnungsdaten zwischen den verschiedenen Domänen, damit Anwendungen die Verwaltung von Sicherheitsproblemen über alle integrierten Lösungen hinweg vereinheitlichen und optimieren können. Sie ermöglichen Es Anwendungen, Warnungen und Kontext zu korrelieren, um den Schutz und die Reaktion auf Bedrohungen zu verbessern.

Die Legacyversion der Sicherheits-API bietet die Warnungsressource , die aufruft von unterstützten Azure- und Microsoft 365 Defender-Sicherheitsanbietern. Diese Warnungsressource aggregiert Warnungsdaten, die in den verschiedenen Domänen üblich sind, damit Anwendungen die Verwaltung von Sicherheitsproblemen über alle integrierten Lösungen hinweg vereinheitlichen und optimieren können. Dadurch können Anwendungen Warnungen und Kontext korrelieren, um den Schutz und die Reaktion auf Bedrohungen zu verbessern.

Mit der Warnungsaktualisierungsfunktion können Sie die status bestimmter Warnungen für verschiedene Sicherheitsprodukte und Dienste synchronisieren, die in die Microsoft Graph-Sicherheits-API integriert sind, indem Sie Ihre Warnungsentität aktualisieren.

Warnungen der folgenden Anbieter sind über diese Warnungsressource verfügbar. Die Unterstützung für GET-Warnungen, PATCH-Warnungen und Abonnieren (über Webhooks) ist in der folgenden Tabelle angegeben.

Sicherheitsanbieter

GET-Warnung

PATCH-Warnung

Warnung abonnieren

Microsoft Entra ID Protection

Dateiproblem *

Microsoft 365

Dateiproblem

Dateiproblem

Microsoft Defender for Cloud Apps

Dateiproblem *

Microsoft Defender für Endpunkt **

Dateiproblem

Microsoft Defender for Identity ***

Dateiproblem *

Microsoft Sentinel (früher Azure Sentinel)

In Microsoft Sentinel nicht unterstützt

Hinweis: Neue Anbieter werden kontinuierlich in das Microsoft Graph-Sicherheitsökosystem integriert. Um neue Anbieter oder erweiterten Support von vorhandenen Anbietern anzufordern, melden Sie ein Problem im Microsoft Graph-Sicherheits-GitHub-Repository.

* Dateiproblem: Warnungs-status wird für alle integrierten Anwendungen der Microsoft Graph-Sicherheits-API aktualisiert, aber nicht in der Verwaltungsoberfläche des Anbieters wider.

** Microsoft Defender for Endpoint erfordert zusätzliche Benutzerrollen, die für die Microsoft Graph-Sicherheits-API erforderlich sind. Nur die Benutzer in Microsoft Defender for Endpoint- und Microsoft Graph-Sicherheits-API-Rollen haben Zugriff auf die Microsoft Defender for Endpoint Daten. Da die Nur-Anwendungs-Authentifizierung hierdurch nicht eingeschränkt wird, empfehlen wir, ein Nur-App-Authentifizierungstoken zu verwenden.

Microsoft Defender for Identity Warnungen sind über die Microsoft Defender for Cloud Apps-Integration verfügbar. Dies bedeutet, dass Sie Microsoft Defender for Identity-Warnungen nur erhalten, wenn Sie Unified SecOps beigetreten sind und Microsoft Defender for Identity mit Microsoft Defender for Cloud Apps verbunden haben. Erfahren Sie mehr über die Integration von Microsoft Defender for Identity und Microsoft Defender for Cloud Apps.

Angriffssimulation und -training

Angriffssimulation und Schulung ist Teil von Microsoft Defender für Office 365. Mit diesem Dienst können Nutzer in einem Mandanten eine realistische, gutartige Phishing-Attacke erleben und daraus lernen. Benutzererfahrungen mit Social-Engineering-Simulationen und -Schulungen für Endnutzer tragen dazu bei, das Risiko zu verringern, dass Nutzer mit diesen Angriffstechniken angegriffen werden. Die Angriffssimulations- und Schulungs-API ermöglicht Mandantenadministratoren, gestartete Simulationsübungen und Schulungen anzuzeigen und Berichte über abgeleitete Einblicke in das Onlineverhalten von Benutzern in den Phishingsimulationen zu erhalten.

eDiscovery

Microsoft Purview eDiscovery (Premium) bietet einen End-to-End-Workflow zum Aufbewahren, Sammeln, Analysieren, Überprüfen und Exportieren von Inhalten, die auf interne und externe Untersuchungen Ihrer Organisation reagieren.

Vorfälle

Ein Incident ist eine Sammlung korrelierter Warnungen und zugehöriger Daten, die die Geschichte eines Angriffs bilden. Die Verwaltung von Vorfällen ist Teil von Microsoft 365 Defender und im Microsoft 365 Defender-Portal (https://security.microsoft.com/) verfügbar.

Microsoft 365-Dienste und -Anwendungen erstellen Warnungen, wenn sie ein verdächtiges oder bösartiges Ereignis oder eine Aktivität erkennen. Einzelne Warnungen bieten wertvolle Hinweise zu einem abgeschlossenen oder laufenden Angriff. Angriffe wenden jedoch in der Regel verschiedene Techniken gegen verschiedene Arten von Entitäten an, z. B. Geräte, Benutzer und Postfächer. Das Ergebnis sind mehrere Warnungen für mehrere Entitäten in Ihrem Mandanten.

Da es schwierig und zeitaufwändig sein kann, die einzelnen Warnungen zusammenzufassen, um Einblicke in einen Angriff zu erhalten, aggregiert Microsoft 365 Defender die Warnungen und die zugehörigen Informationen automatisch zu einem Incident.

Das Gruppieren von verwandten Warnungen in einem Vorfall gibt Sie einen umfassenden Überblick über einen Angriff. Sie können beispielsweise Folgendes sehen:

  • Wo der Angriff begonnen hat.
  • Welche Taktiken verwendet wurden.
  • Wie weit der Angriff Ihren Mandanten gelangt ist.
  • Den Umfang des Angriffs, z. B. wie viele Geräte, Benutzer und Postfächer betroffen waren.
  • Alle Daten, die dem Angriff zugeordnet sind.

Die Vorfall-Ressource und ihre APIs ermöglichen es Ihnen, Vorfälle zu sortieren, um eine fundierte Cybersicherheitsreaktion zu entwickeln. Es macht eine Sammlung von Incidents mit den zugehörigen Warnungen verfügbar, die innerhalb des Zeitraums, den Sie in Ihrer Umgebungsaufbewahrungsrichtlinie angegeben haben, in Ihrem Netzwerk gekennzeichnet wurden.

Information Protection

Die Microsoft Graph-API zur Bedrohungsanalyse hilft Organisationen dabei, die von jedem Benutzer in einem Mandanten empfangene Bedrohung zu beurteilen. Auf diese Weise können Kunden Spam-E-Mails, Phishing-URLs oder Malware-Anlagen melden, die Sie an Microsoft senden. Das Ergebnis der Richtlinienprüfung und das Ergebnis der erneuten Überprüfung können den Administratoren der Mandanten helfen, das Urteil über die Bedrohungsprüfung zu verstehen und ihre Unternehmensrichtlinien anzupassen.

Sicherheitsbewertung

Microsoft Secure Score ist eine Sicherheitsanalyselösung, mit der Sie Einblicke in Ihr Sicherheitsportfolio und in Verbesserungsmöglichkeiten erhalten. Anhand eines einzigen Faktors können Sie verstehen, wie Sie die Risiken in Microsoft-Lösungen minimieren können. Außerdem können Sie Ihre Bewertung mit anderen Organisationen vergleichen und sehen, wie sich Ihre Bewertung im Laufe der Zeit entwickelt hat. Die Microsoft Graph-Sicherheitsentitäten secureScore und secureScoreControlProfile helfen Ihnen dabei, die Sicherheits- und Produktivitätsanforderungen Ihrer organization auszugleichen und gleichzeitig eine geeignete Mischung aus Sicherheitsfeatures zu ermöglichen. Sie können auch projizieren, wie Ihre Bewertung nach Einführung von Sicherheitsfeatures aussehen würde.

Threat Intelligence

Microsoft Defender Threat Intelligence bietet erstklassige Bedrohungsinformationen, um Ihre organization vor modernen Cyberbedrohungen zu schützen. Sie können Threat Intelligence verwenden, um Angreifer und deren Vorgänge zu identifizieren, die Erkennung und Behebung zu beschleunigen und Ihre Sicherheitsinvestitionen und Workflows zu verbessern.

Mit den Threat Intelligence-APIs können Sie die auf der Benutzeroberfläche gefundene Intelligenz operationalisieren. Dazu gehören fertige Intelligenz in Form von Artikeln und Intel-Profilen, Machine Intelligence einschließlich IoCs und Reputationsbewertungen und schließlich Anreicherungsdaten wie passives DNS, Cookies, Komponenten und Tracker.

Allgemeine Anwendungsfälle

Im Folgenden sind einige der am häufigsten verwendeten Anforderungen für die Arbeit mit der Microsoft Graph-Sicherheits-API aufgeführt:

Anwendungsfälle REST-Ressourcen Ausprobieren im Graph-Tester
Profile für Steuerung der Sicherheitsbewertung aktualisieren secureScoreControlProfile aktualisieren https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles/{id}
Warnungen und Vorfälle
Warnungen auflisten Warnungen auflisten https://graph.microsoft.com/v1.0/security/alerts_v2
Warnung aktualisieren Warnung aktualisieren https://graph.microsoft.com/v1.0/security/alerts/{id}
Auflisten von Vorfällen Auflisten von Vorfällen https://graph.microsoft.com/v1.0/security/incidents
Auflisten von Incidents mit Warnungen Auflisten von Vorfällen https://graph.microsoft.com/v1.0/security/incidents?$expand=alerts
Aktualisieren von Vorfällen Aktualisieren von Vorfällen https://graph.microsoft.com/v1.0/security/incidents/{id}
eDiscovery
eDiscovery-Fälle auflisten eDiscoveryCases auflisten https://graph.microsoft.com/v1.0/security/cases/eDiscoveryCases
eDiscovery-Fallvorgänge auflisten caseOperations auflisten https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{id}/operations
Legacywarnungen
Warnungen auflisten Warnungen auflisten https://graph.microsoft.com/v1.0/security/alerts
Warnungen aktualisieren Warnung aktualisieren https://graph.microsoft.com/v1.0/security/alerts/{alert-id}
Sicherheitsbewertungen
Sicherheitsbewertungen auflisten secureScores auflisten https://graph.microsoft.com/v1.0/security/secureScores
Secure Score abrufen Secure Score abrufen https://graph.microsoft.com/v1.0/security/secureScores/{id}
Profile für Steuerung der Sicherheitsbewertung auflisten secureScoreControlProfiles auflisten https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles
Profil für Steuerung der Sicherheitsbewertung abrufen secureScoreControlProfile abrufen https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles/{id}

Sie können Microsoft Graph-Webhooks verwenden, um Updates für Microsoft Graph-Sicherheitsentitäten zu abonnieren und zu erhalten.

Ressourcen

Code und Mitwirken an diesen Microsoft Graph-Sicherheits-API-Beispielen:

Interaktion mit der Community:

Nächste Schritte

Die Microsoft Graph-Sicherheits-API kann Ihnen neue Möglichkeiten für die Interaktion mit verschiedenen Sicherheitslösungen von Microsoft und Partnern eröffnen. Gehen Sie folgendermaßen vor, um loszulegen:

Code und Mitwirken an diesen Microsoft Graph-Sicherheits-API-Beispielen:

Erkunden Sie weitere Optionen zum Herstellen einer Verbindung mit der Microsoft Graph-Sicherheits-API:

Interaktion mit der Community: