Verwenden der Microsoft Graph-Sicherheits-API

Wichtig

Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.

Die Microsoft Graph-Sicherheits-API bietet eine einheitliche Schnittstelle und ein einheitliches Schema für die Integration in Sicherheitslösungen von Microsoft und Ökosystempartnern. Es ermöglicht Kunden, Sicherheitsvorgänge zu optimieren und sich besser vor zunehmenden Cyberbedrohungen zu schützen. Die Microsoft Graph-Sicherheits-API verknüpft Abfragen mit allen integrierten Sicherheitsanbietern und aggregiert Antworten. Verwenden Sie die Microsoft Graph-Sicherheits-API, um Anwendungen zu erstellen, die:

• Konsolidieren und korrelieren Sie Sicherheitswarnungen aus mehreren Quellen.
• Pullen und Untersuchen aller Vorfälle und Warnungen von Diensten, die Teil von Microsoft 365 Defender sind oder in microsoft 365 Defender integriert sind.
• Die Sperrung kontextbezogener Daten aufheben, um Untersuchungen zu ermöglichen.
• Automatisieren von Sicherheitsaufgaben, Geschäftsprozessen, Workflows und Berichterstellung
• Senden sie Bedrohungsindikatoren an Microsoft-Produkte, um angepasste Erkennungen zu ermöglichen.
• Aufrufen von Aktionen für als Reaktion auf neue Bedrohungen.
• Bieten Sie Einblick in Sicherheitsdaten, um ein proaktives Risikomanagement zu ermöglichen.

Die Microsoft Graph-Sicherheits-API bietet wichtige Features, wie in den folgenden Abschnitten beschrieben.

Sicherheitsaktionen (Vorschau)

Ergreifen Sie sofortige Maßnahmen, um sich mit der SecurityAction-Entität vor Bedrohungen zu schützen. Wenn ein Sicherheitsanalytiker einen neuen Indikator entdeckt, z. B. eine bösartige Datei, URL, Domäne oder IP-Adresse, kann der Schutz in Ihren Microsoft-Sicherheitslösungen sofort aktiviert werden. Rufen Sie eine Aktion für einen bestimmten Anbieter auf, zeigen Sie alle ausgeführten Aktionen an, und brechen Sie eine Aktion bei Bedarf ab. Testen Sie Sicherheitsaktionen mit Microsoft Defender für Endpunkt (früher Microsoft Defender ATP), um bösartige Aktivitäten auf Ihren Windows-Endpunkten mithilfe von Eigenschaften zu blockieren, die in Warnungen angezeigt oder bei Untersuchungen identifiziert wurden.

Hinweis: Sicherheitsaktionen unterstützen derzeit nur Anwendungsberechtigungen.

Erweiterte Bedrohungssuche

Bei der erweiterten Suche handelt es sich um ein abfragebasiertes Tool für die Bedrohungssuche, mit dem Sie Rohdaten von bis zu 30 Tagen erkunden können. Sie können Ereignisse in Ihrem Netzwerk proaktiv prüfen, um Bedrohungsindikatoren und -entitäten zu ermitteln. Der flexible Zugriff auf Daten ermöglicht die uneingeschränkte Suche nach bekannten und potenziellen Bedrohungen.

Verwenden Sie runHuntingQuery, um eine Kusto-Abfragesprache-Abfrage (KQL) für daten auszuführen, die in Microsoft 365 Defender gespeichert sind. Nutzen Sie das zurückgegebene Resultset, um eine vorhandene Untersuchung anzureichern oder unerkannte Bedrohungen in Ihrem Netzwerk aufzudecken.

Kontingente und Ressourcenzuordnung

1. Sie können eine Abfrage nur für Daten der letzten 30 Tage ausführen.

2. Die Ergebnisse umfassen maximal 100.000 Zeilen.

3. Die Anzahl der Ausführungen ist pro Mandant begrenzt:

   • API-Aufrufe: Bis zu 45 Anforderungen pro Minute und bis zu 1500 Anforderungen pro Stunde.
   • Ausführungszeit: 10 Minuten Laufzeit pro Stunde und 3 Stunden Laufzeit pro Tag.

4. Die maximale Ausführungszeit einer einzelnen Anforderung beträgt 200 Sekunden.

5. Der Antwortcode HTTP 429 bedeutet, dass Sie das Kontingent für die Anzahl der API-Aufrufe oder die Ausführungszeit erreicht haben. Lesen Sie den Antworttext, um den erreichten Grenzwert zu bestätigen.

6. Die maximale Abfrageergebnisgröße einer einzelnen Anforderung darf 124 MB nicht überschreiten. Das Überschreiten des Größenlimits führt zu einer ungültigen HTTP 400-Anforderung mit der Meldung "Die Abfrageausführung hat die zulässige Ergebnisgröße überschritten. Optimieren Sie Ihre Abfrage, indem Sie die Anzahl der Ergebnisse begrenzen, und versuchen Sie es erneut."

Benutzerdefinierte Erkennungen

Sie können erweiterte Hunting-Benutzerdefinierte Erkennungsregeln speziell für Ihre Sicherheitsvorgänge erstellen, damit Sie proaktiv auf Bedrohungen überwachen und Maßnahmen ergreifen können. Für instance können Sie benutzerdefinierte Erkennungsregeln erstellen, die nach bekannten Indikatoren oder falsch konfigurierten Geräten suchen. Diese lösen automatisch Warnungen und alle von Ihnen angegebenen Antwortaktionen aus.

Kontingente

1. Abrufen mehrerer Regeln: 10 Regeln pro Minute und Anwendung, 300 Regeln pro Stunde und Anwendung, 600 Regeln pro Stunde und Mandant
2. Abrufen einer einzelnen Regel: 100 Regeln pro Minute und Anwendung, 1.500 Regeln pro Stunde und Anwendung, 1.800 Regeln pro Stunde und Mandant
3. Regel erstellen: 10 Regeln pro Minute und Anwendung, 1.500 Regeln pro Stunde und Anwendung, 1.800 Regeln pro Stunde und Mandant
4. Updateregel: 100 Regeln pro Minute und Anwendung, 1.500 Regeln pro Stunde und Anwendung, 1.800 Regeln pro Stunde und Mandant
5. Löschregel: 100 Regeln pro Minute und Anwendung, 1.500 Regeln pro Stunde und Anwendung, 1.800 Regeln pro Stunde und Mandant

Warnungen

Warnungen sind detaillierte Warnungen zu verdächtigen Aktivitäten im Mandanten eines Kunden, die Microsoft oder Partnersicherheitsanbieter identifiziert und für Aktionen gekennzeichnet haben. Angriffe verwenden in der Regel verschiedene Techniken gegen verschiedene Arten von Entitäten, z. B. Geräte, Benutzer und Postfächer. Das Ergebnis sind Warnungen von mehreren Sicherheitsanbietern für mehrere Entitäten im Mandanten. Das Zusammenfügen der einzelnen Warnungen, um Einblicke in einen Angriff zu erhalten, kann schwierig und zeitaufwändig sein.

Die Betaversion der Sicherheits-API bietet zwei Arten von Warnungen, die andere Warnungen von Sicherheitsanbietern aggregieren und die Analyse von Angriffen und die Ermittlung von Antworten vereinfachen:

• Warnungen und Vorfälle : die neueste Generation von Warnungen in der Microsoft Graph-Sicherheits-API. Sie werden durch die Warnungsressource und deren Sammlung, Incidentressource , dargestellt, die microsoft.graph.security im Namespace definiert sind.
• Legacywarnungen : Die erste Generation von Warnungen in der Microsoft Graph-Sicherheits-API. Sie werden durch die im Namespace definierte Warnungsressource microsoft.graph dargestellt.

Warnungen und Vorfälle

Diese Warnungsressourcen rufen zuerst Warnungsdaten von Sicherheitsanbieterdiensten ab, die teil von Microsoft 365 Defender sind oder in diese integriert sind. Anschließend nutzen sie die Daten, um wertvolle Hinweise auf einen abgeschlossenen oder laufenden Angriff, die betroffenen Ressourcen und zugehörige Beweise zurückzugeben. Darüber hinaus korrelieren sie automatisch andere Warnungen mit den gleichen Angriffstechniken oder demselben Angreifer in einen Incident , um einen breiteren Kontext eines Angriffs bereitzustellen. Sie empfehlen Reaktions- und Wiederherstellungsaktionen, die eine konsistente Umsetzbarkeit für alle verschiedenen Anbieter bieten. Die umfangreichen Inhalte erleichtern es Analysten, Bedrohungen gemeinsam zu untersuchen und darauf zu reagieren.

Warnungen von den folgenden Sicherheitsanbietern sind über diese umfangreichen Warnungen und Vorfälle verfügbar:

• Microsoft Entra ID Protection
• Microsoft 365 Defender
• Microsoft Defender for Cloud Apps
• Microsoft Defender für Endpunkt
• Microsoft Defender for Identity
• Microsoft Defender für Office 365
• Verhinderung von Datenverlust in Microsoft Purview

Legacywarnungen

Hinweis

Die Legacywarnungs-API ist veraltet und wird im April 2026 entfernt. Es wird empfohlen, zur neuen Warnungs- und Incident-API zu migrieren.

Die Legacywarnungsressourcen bilden einen Verbundaufruf von unterstützten Azure- und Microsoft 365 Defender-Sicherheitsanbietern. Sie aggregieren allgemeine Warnungsdaten zwischen den verschiedenen Domänen, damit Anwendungen die Verwaltung von Sicherheitsproblemen in allen integrierten Lösungen vereinheitlichen und optimieren können. Sie ermöglichen Es Anwendungen, Warnungen und Kontext zu korrelieren, um den Schutz und die Reaktion auf Bedrohungen zu verbessern.

Mit der Warnungsaktualisierungsfunktion können Sie die status bestimmter Warnungen für verschiedene Sicherheitsprodukte und Dienste synchronisieren, die in die Microsoft Graph-Sicherheits-API integriert sind, indem Sie Ihre Warnungsentität aktualisieren.

Warnungen von den folgenden Sicherheitsanbietern sind über die Legacywarnungsressource verfügbar. Die Unterstützung für GET-Warnungen, PATCH-Warnungen und Abonnieren (über Webhooks) ist in der folgenden Tabelle angegeben.

Sicherheitsanbieter	GET-Warnung	PATCH-Warnung	Warnung abonnieren
Microsoft Entra ID Protection	✓	Dateiproblem *	✓
Azure Security Center	✓	✓	✓
Microsoft 365 Default Cloud-App-Sicherheit Benutzerdefinierte Benachrichtigung	✓	Dateiproblem	Dateiproblem
Microsoft Defender for Cloud Apps (vormals Microsoft Cloud App Security)	✓	Dateiproblem *	✓
Microsoft Defender für Endpunkt (vormals Microsoft Defender ATP) **	✓	✓	Dateiproblem
Microsoft Defender for Identity (vormals Azure Advanced Threat Protection) **	✓	Dateiproblem *	✓
Microsoft Sentinel (früher Azure Sentinel)	✓	In Microsoft Sentinel nicht unterstützt	✓

Hinweis: Neue Anbieter werden kontinuierlich in das Microsoft Graph-Sicherheitsökosystem integriert. Um neue Anbieter oder erweiterten Support von vorhandenen Anbietern anzufordern, melden Sie ein Problem im Microsoft Graph-Sicherheits-GitHub-Repository.

* Dateiproblem: Warnungs-status wird für alle integrierten Anwendungen der Microsoft Graph-Sicherheits-API aktualisiert, aber nicht in der Verwaltungsoberfläche des Anbieters wider.

** Microsoft Defender for Endpoint erfordert zusätzliche Benutzerrollen, die für die Microsoft Graph-Sicherheits-API erforderlich sind. Nur die Benutzer in Microsoft Defender for Endpoint- und Microsoft Graph-Sicherheits-API-Rollen haben Zugriff auf die Microsoft Defender for Endpoint Daten. Da die Nur-Anwendungs-Authentifizierung hierdurch nicht eingeschränkt wird, empfehlen wir, ein Nur-App-Authentifizierungstoken zu verwenden.

Microsoft Defender for Identity Warnungen sind über die Microsoft Defender for Cloud Apps-Integration verfügbar. Dies bedeutet, dass Sie nur dann Microsoft Defender for Identity Warnungen erhalten, wenn Sie Unified SecOps hinzugefügt und Microsoft Defender for Identity mit Microsoft Defender for Cloud Apps verbunden haben. Erfahren Sie mehr über die Integration von Microsoft Defender for Identity und Microsoft Defender for Cloud Apps.

Angriffssimulation und -training

Angriffssimulation und Schulung ist Teil von Microsoft Defender für Office 365. Mit diesem Dienst können Nutzer in einem Mandanten eine realistische, gutartige Phishing-Attacke erleben und daraus lernen. Benutzererfahrungen mit Social-Engineering-Simulationen und -Schulungen für Endnutzer tragen dazu bei, das Risiko zu verringern, dass Nutzer mit diesen Angriffstechniken angegriffen werden. Die Angriffssimulations- und Schulungs-API ermöglicht Mandantenadministratoren, gestartete Simulationsübungen und Schulungen anzuzeigen und Berichte über abgeleitete Einblicke in das Onlineverhalten von Benutzern in den Phishingsimulationen zu erhalten.

eDiscovery (Vorschau)

Microsoft Purview eDiscovery (Premium) bietet einen End-to-End-Workflow zum Aufbewahren, Sammeln, Analysieren, Überprüfen und Exportieren von Inhalten, die auf interne und externe Untersuchungen Ihrer Organisation reagieren.

Abfrage von Überwachungsprotokollen (Vorschau)

Microsoft Purview Audit bietet eine integrierte Lösung, mit der Organisationen effektiv auf Sicherheitsereignisse, forensische Untersuchungen, interne Untersuchungen und Complianceverpflichtungen reagieren können. Tausende von Benutzer- und Administratorvorgängen, die in Dutzenden von Microsoft 365-Diensten und -Lösungen durchgeführt werden, werden erfasst, aufgezeichnet und im einheitlichen Überwachungsprotokoll Ihrer Organisation gespeichert. Überwachungsdatensätze für diese Ereignisse können von Sicherheitsbeauftragten, IT-Administratoren, Insider-Risiko-Teams sowie Compliance- und Rechtsermittlern in Ihrem Unternehmen durchsucht werden. Diese Funktion bietet einen Einblick in die Aktivitäten, die in Ihrer Microsoft 365-Organisation durchgeführt werden.

Vorfälle

Ein Incident ist eine Sammlung korrelierter Warnungen und zugehöriger Daten, die die Geschichte eines Angriffs bilden. Die Vorfallverwaltung ist Teil von Microsoft 365 Defender und im Microsoft 365 Defender-Portal (https://security.microsoft.com/) verfügbar.

Microsoft 365-Dienste und -Anwendungen erstellen Warnungen, wenn sie ein verdächtiges oder bösartiges Ereignis oder eine Aktivität erkennen. Einzelne Warnungen bieten wertvolle Hinweise zu einem abgeschlossenen oder laufenden Angriff. Angriffe wenden jedoch in der Regel verschiedene Techniken gegen verschiedene Arten von Entitäten an, z. B. Geräte, Benutzer und Postfächer. Das Ergebnis sind mehrere Warnungen für mehrere Entitäten in Ihrem Mandanten.

Da es schwierig und zeitaufwändig sein kann, die einzelnen Warnungen zusammenzufassen, um Einblicke in einen Angriff zu erhalten, aggregiert Microsoft 365 Defender die Warnungen und die zugehörigen Informationen automatisch zu einem Incident.

Das Gruppieren von verwandten Warnungen in einem Vorfall gibt Sie einen umfassenden Überblick über einen Angriff. Sie können beispielsweise Folgendes sehen:

• Wo der Angriff begonnen hat.
• Welche Taktiken verwendet wurden.
• Wie weit der Angriff Ihren Mandanten gelangt ist.
• Den Umfang des Angriffs, z. B. wie viele Geräte, Benutzer und Postfächer betroffen waren.
• Alle Daten, die dem Angriff zugeordnet sind.

Die Vorfall-Ressource und ihre APIs ermöglichen es Ihnen, Vorfälle zu sortieren, um eine fundierte Cybersicherheitsreaktion zu entwickeln. Es macht eine Sammlung von Incidents mit den zugehörigen Warnungen verfügbar, die innerhalb des Zeitraums, den Sie in Ihrer Umgebungsaufbewahrungsrichtlinie angegeben haben, in Ihrem Netzwerk gekennzeichnet wurden.

Information Protection

Bezeichnungen: Information Protection-Bezeichnungen enthalten Einzelheiten darüber, wie eine Vertraulichkeitsbezeichnung ordnungsgemäß auf Informationen angewendet werden kann. Die API für Information Protection-Bezeichnungen beschreibt die Konfiguration von Vertraulichkeitsbezeichnungen, die für einen Benutzer oder Mandanten gelten.

Bedrohungsanalyse: Die Microsoft Graph-API zur Bedrohungsanalyse hilft Organisationen dabei, die von jedem Benutzer in einem Mandanten empfangene Bedrohung zu beurteilen. Auf diese Weise können Kunden Spam- oder verdächtige E-Mails, Phishing-URLs oder Malware-Anlagen, die sie erhalten, an Microsoft melden. Microsoft überprüft das betreffende Beispiel und die organisationsbezogenen Richtlinien, bevor ein Ergebnis generiert wird, damit Mandantenadministratoren die Bewertung der Bedrohungsüberprüfung verstehen und ihre Organisationsrichtlinie anpassen können. Sie können sie auch verwenden, um legitime E-Mails zu melden, um zu verhindern, dass sie blockiert werden.

Hinweis: Es wird empfohlen, stattdessen die API für die Bedrohungsübermittlung zu verwenden.

Datensatzverwaltung

Die meisten Organisationen müssen Daten verwalten, um branchenspezifische Vorschriften und interne Richtlinien proaktiv einzuhalten, risiken im Falle von Rechtsstreitigkeiten oder Sicherheitsverletzungen zu reduzieren und ihren Mitarbeitern einen effektiven und agilen Austausch von Wissen zu ermöglichen, das für sie aktuell und relevant ist. Sie können die Datensatzverwaltungs-APIs verwenden, um Aufbewahrungsbezeichnungen systematisch auf verschiedene Inhaltstypen anzuwenden, die unterschiedliche Aufbewahrungseinstellungen erfordern. Sie können beispielsweise den Beginn des Aufbewahrungszeitraums ab dem Zeitpunkt konfigurieren, an dem der Inhalt erstellt, zuletzt geändert oder bezeichnet wurde oder wenn ein Ereignis für einen bestimmten Ereignistyp auftritt. Darüber hinaus können Sie Dateiplandeskriptoren verwenden, um die Verwaltbarkeit dieser Aufbewahrungsbezeichnungen zu verbessern.

Sicherheitsbewertung

Microsoft Secure Score ist eine Sicherheitsanalyselösung, mit der Sie Einblicke in Ihr Sicherheitsportfolio und in Verbesserungsmöglichkeiten erhalten. Anhand eines einzigen Faktors können Sie verstehen, wie Sie die Risiken in Microsoft-Lösungen minimieren können. Außerdem können Sie Ihre Bewertung mit anderen Organisationen vergleichen und sehen, wie sich Ihre Bewertung im Laufe der Zeit entwickelt hat. Die Entitäten secureScore und secureScoreControlProfile helfen Ihnen dabei, die Sicherheits- und Produktivitätsanforderungen Ihrer organization in Einklang zu bringen und gleichzeitig eine geeignete Mischung aus Sicherheitsfeatures zu ermöglichen. Sie können auch projizieren, wie Ihre Bewertung aussehen wird, nachdem Sie Sicherheitsfeatures übernommen haben.

Threat Intelligence (Vorschau)

Microsoft Defender Threat Intelligence bietet erstklassige Bedrohungsinformationen, um Ihre organization vor modernen Cyberbedrohungen zu schützen. Sie können Threat Intelligence verwenden, um Angreifer und deren Vorgänge zu identifizieren, die Erkennung und Behebung zu beschleunigen und Ihre Sicherheitsinvestitionen und Workflows zu verbessern.

Mit den Threat Intelligence-APIs (Vorschau) können Sie die auf der Benutzeroberfläche gefundene Intelligenz operationalisieren. Dazu gehören fertige Intelligenz in Form von Artikeln und Intel-Profilen, Machine Intelligence einschließlich IoCs und Reputationsbewertungen und schließlich Anreicherungsdaten wie passives DNS, Cookies, Komponenten und Tracker.

Bedrohungsindikatoren (Vorschau)

Hinweis

Die tiIndicator-Entität ist veraltet und wird im April 2026 entfernt.

Bedrohungsindikatoren, die auch als Indikatoren für Kompromittierung (Indicators of Compromise, IoCs) bezeichnet werden, stellen Daten zu bekannten Bedrohungen wie schädliche Dateien, URLs, Domänen und IP-Adressen dar. Kunden können Indikatoren durch internes Sammeln von Informationen zu Bedrohungen (Threat Intelligence) generieren oder Indikatoren von Threat Intelligence Communities, lizenzierten Feeds und anderen Quellen erwerben. Dieser Indikatoren werden dann in verschiedenen Sicherheitstools zum Schutz vor verwandten Bedrohungen verwendet.

Die tiIndicator-Entität ermöglicht Es Kunden, Bedrohungsindikatoren an Microsoft-Sicherheitslösungen zu senden, um eine Blockierungs- oder Warnungsaktion für eine schädliche Aktivität auszuführen oder die Aktivität zuzulassen, die für den organization irrelevant ist, und Aktionen für den Indikator zu unterdrücken. Um einen Indikator zu senden, geben Sie die Microsoft-Sicherheitslösung an, die den Indikator verwenden soll, und die Aktion, die für diesen Indikator ausgeführt werden soll.

Sie können die Entität tiIndicator in Ihre Anwendung integrieren oder eine der folgenden integrierten Threat Intelligence-Plattformen (TIP) verwenden:

• Palo Alto Networks – MineMeld Threat Intelligence Sharing
• MISP – Open Source Threat Intelligence Platform verfügbar im TI-Beispiel

Bedrohungsindikatoren, die über die Microsoft Graph-Sicherheits-API gesendet werden, sind heute in den folgenden Produkten verfügbar:

• Microsoft Defender for Endpoint : Ermöglicht Ihnen, Bedrohungsindikatoren im Zusammenhang mit schädlichen Aktivitäten zu warnen und/oder zu blockieren. Sie können auch festlegen, dass ein Indikator den Indikator aus automatisierten Ermittlungen ignoriert. Ausführliche Informationen zu den unterstützten Indikatortypen und den Beschränkungen der Indikatoranzahl pro Mandant finden Sie unter Verwalten von Indikatoren.
• Microsoft Sentinel : Nur vorhandene Kunden können die tiIndicator-API verwenden, um Threat Intelligence-Indikatoren an Microsoft Sentinel zu senden. Die aktuellsten und detaillierten Anweisungen zum Senden intelligenter Bedrohungsindikatoren an Microsoft Sentinel finden Sie unter Verbinden Ihrer Threat Intelligence-Plattform mit Microsoft Sentinel.

Bedrohungsübermittlung

Die Microsoft Graph-API zur Bedrohungsübermittlung hilft Organisationen dabei, die von einem Benutzer in einem Mandanten empfangene Bedrohung zu übermitteln. Auf diese Weise können Kunden Spam- oder verdächtige E-Mails, Phishing-URLs oder Malware-Anlagen, die sie erhalten, an Microsoft melden. Microsoft überprüft die Übermittlung anhand der geltenden Organisationsrichtlinien und sendet sie zur Analyse an menschliche Prüfer. Das Ergebnis hilft Mandantenadministratoren dann, die Bewertung der Bedrohungsprüfung zu verstehen und ihre Unternehmensrichtlinien anzupassen. Administratoren können die Ergebnisse auch verwenden, um legitime E-Mails zu melden, um zu verhindern, dass sie blockiert werden.

Hinweis: Es wird empfohlen, anstelle der veralteten API für die Information Protection-Bedrohungsbewertung die API für die Bedrohungsübermittlung zu verwenden. Die Bedrohungsübermittlungs-API bietet eine einheitliche Funktionalität für die Übermittlung von Sicherheitsbedrohungen und unterstützt einheitliche Ergebnisse, die Abfrage von Benutzerübermittlungen, die Blockierliste zum Zulassen von Mandanten, Überprüfungen durch den Administrator und den Nur-App-Modus.

schutz vor Email und Zusammenarbeit (Vorschau)

Microsoft Defender for Office 365 ist ein cloudbasierter E-Mail-Filterdienst, der Ihre organization vor erweiterten Bedrohungen für E-Mails und Tools für die Zusammenarbeit schützt, z. B. Phishing, Kompromittierung geschäftlicher E-Mails und Schadsoftwareangriffe. Sie können microsoft Graph analyzedemails and remediate APIs verwenden, um E-Mail-Metadaten abzurufen und Reaktionsaktionen (vorläufiges Löschen, endgültiges Löschen, Verschieben in Junk- und Posteingang) für analysierte Nachrichten auszuführen.

Hinweis: Diese APIs sind nur für Defender for Office 365 Plan 2- oder Microsoft 365 A5/E5/F5/G5-Sicherheitsdienstpläne verfügbar. Die aktuellste Liste der Servicepläne finden Sie unter Microsoft Defender for Office 365 Dienstbeschreibung.

Identitäten

Integritätsprobleme

Mit der Defender for Identity-API für Integritätsprobleme können Sie die Integritäts-status Ihrer Sensoren und Agents in Ihrer hybriden Identitätsinfrastruktur überwachen. Sie können die API für Integritätsprobleme verwenden, um Informationen zu den aktuellen Integritätsproblemen Ihrer Sensoren abzurufen, z. B. Problemtyp, status, Konfiguration und Schweregrad. Sie können die API auch verwenden, um Probleme zu identifizieren und zu beheben, die sich auf die Funktionalität oder Sicherheit Ihrer Sensoren und Agents auswirken können.

Allgemeine Anwendungsfälle

Im Folgenden sind einige der am häufigsten verwendeten Anforderungen für die Arbeit mit der Microsoft Graph-Sicherheits-API aufgeführt.

Anwendungsfälle	REST-Vorgänge	Ausprobieren im Graph-Tester
Aktionen (Vorschau)
Sicherheitsaktion abrufen	Sicherheitsaktion abrufen	https://graph.microsoft.com/beta/security/securityActions/{id}
Sicherheitsaktionen auflisten	Sicherheitsaktionen auflisten	https://graph.microsoft.com/beta/security/securityActions
Sicherheitsaktionen erstellen	Sicherheitsaktionen erstellen	https://graph.microsoft.com/beta/security/securityActions
Sicherheitsaktionen abbrechen	Sicherheitsaktionen abbrechen	https://graph.microsoft.com/beta/security/securityActions/{id}/cancelSecurityAction
Warnungen und Vorfälle
Warnungen auflisten	Warnungen auflisten	https://graph.microsoft.com/beta/security/alerts_v2
Warnung aktualisieren	Warnung aktualisieren	https://graph.microsoft.com/beta/security/alerts/{id}
Auflisten von Vorfällen	Auflisten von Vorfällen	https://graph.microsoft.com/beta/security/incidents
Auflisten von Incidents mit Warnungen	Auflisten von Vorfällen	https://graph.microsoft.com/beta/security/incidents?$expand=alerts
Aktualisieren von Vorfällen	Aktualisieren von Vorfällen	https://graph.microsoft.com/beta/security/incidents/{id}
Angriffssimulation und -training
Simulationen auflisten	Simulationen auflisten	https://graph.microsoft.com/beta/security/attackSimulation/simulations
Übersichtsbericht zur Simulation abrufen	Übersichtsbericht zur Simulation abrufen	https://graph.microsoft.com/beta/security/attackSimulation/simulations/{id}/report/overview
Bericht "Simulationsbenutzer auflisten"	Bericht "Simulationsbenutzer auflisten"	https://graph.microsoft.com/beta/security/attackSimulation/simulations/{id}/report/simulationUsers
eDiscovery
eDiscovery-Fälle auflisten	eDiscoveryCases auflisten	https://graph.microsoft.com/beta/security/cases/eDiscoveryCases
eDiscovery-Fallvorgänge auflisten	caseOperations auflisten	https://graph.microsoft.com/beta/security/cases/ediscoveryCases/{id}/operations
Legacywarnungen
Warnungen auflisten	Warnungen auflisten	https://graph.microsoft.com/beta/security/alerts
Warnungen aktualisieren	Warnung aktualisierenAktualisieren mehrerer Warnungen	https://graph.microsoft.com/beta/security/alerts/{alert-id} https://graph.microsoft.com/beta/security/alerts/updateAlerts
Sicherheitsbewertungen
Sicherheitsbewertungen auflisten	List secureScores	https://graph.microsoft.com/beta/security/secureScores
Profile für Steuerung der Sicherheitsbewertung
Profile für Steuerung der Sicherheitsbewertung auflisten	List secureScoreControlProfiles	https://graph.microsoft.com/beta/security/secureScoreControlProfiles
Profile für Steuerung der Sicherheitsbewertung aktualisieren	secureScoreControlProfiles aktualisieren	https://graph.microsoft.com/beta/security/secureScoreControlProfiles/{id}
Hinweise zur Bedrohungserkennung (Vorschau)
TI-Indikator abrufen	Get tiIndicator	https://graph.microsoft.com/beta/security/tiIndicators/{id}
TI-Indikatoren auflisten	List tiIndicators	https://graph.microsoft.com/beta/security/tiIndicators
TI-Indikator erstellen	Create tiIndicator	https://graph.microsoft.com/beta/security/tiIndicators
TI-Indikatoren senden	Submit tiIndicators	https://graph.microsoft.com/beta/security/tiIndicators/submitTiIndicators
TI-Indikatoren aktualisieren	Aktualisieren von tiIndicator Aktualisieren mehrerer tiIndicators	https://graph.microsoft.com/beta/security/tiIndicators/{id} https://graph.microsoft.com/beta/security/tiIndicators/updateTiIndicators
TI-Indikatoren löschen	Löschen von tiIndicator Löschen mehrerer tiIndicators Löschen von tiIndicator nach externalId	POST LÖSCHEN https://graph.microsoft.com/beta/security/tiIndicators/{id} https://graph.microsoft.com/beta/security/tiIndicators/deleteTiIndicators https://graph.microsoft.com/beta/security/tiIndicators/deleteTiIndicatorsByExternalId
Bedrohungsübermittlung
E-Mail-Bedrohungsübermittlung abrufen	emailThreat abrufen	https://graph.microsoft.com/beta/security/threatSubmission/emailThreats/{id}
E-Mail-Bedrohungsübermittlungen auflisten	emailThreats auflisten	https://graph.microsoft.com/beta/threatSubmission/emailThreats
E-Mail-Bedrohungsübermittlung erstellen	emailThreat erstellen	https://graph.microsoft.com/beta/security/threatSubmission/emailThreats
E-Mail-Bedrohungsübermittlung überprüfen	emailThreat überprüfen	https://graph.microsoft.com/beta/security/threatSubmission/emailThreats/{id}/review
Dateibedrohungsübermittlung abrufen	fileThreat abrufen	https://graph.microsoft.com/beta/security/threatSubmission/fileThreats/{id}
Dateibedrohungsübermittlungen auflisten	fileThreats auflisten	https://graph.microsoft.com/beta/threatSubmission/urlThreats
Dateibedrohungsübermittlung erstellen	fileThreat erstellen	https://graph.microsoft.com/beta/security/threatSubmission/fileThreats
URL-Bedrohungsübermittlung abrufen	urlThreat abrufen	https://graph.microsoft.com/beta/security/threatSubmission/urlThreats/{id}
URL-Bedrohungsübermittlungen auflisten	urlThreats auflisten	https://graph.microsoft.com/beta/security/threatSubmission/urlThreats
URL-Bedrohungsübermittlung erstellen	urlThreat erstellen	https://graph.microsoft.com/beta/security/threatSubmission/urlThreats
Richtlinie für die E-Mail-Bedrohungsübermittlung abrufen	emailThreatSubmissionPolicy abrufen	https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies/{id}
Richtlinien für die E-Mail-Bedrohungsübermittlung auflisten	emailThreatSubmissionPolicies auflisten	https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies
Richtlinie für die E-Mail-Bedrohungsübermittlung erstellen	emailThreatSubmissionPolicy erstellen	https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies
Richtlinie für die E-Mail-Bedrohungsübermittlung aktualisieren	emailThreatSubmissionPolicy aktualisieren	https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies/{id}
Richtlinie für die E-Mail-Bedrohungsübermittlung löschen	emailThreatSubmissionPolicy löschen	https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies/{id}
Richtlinie für die E-Mail-Bedrohungsübermittlung löschen	emailThreatSubmissionPolicy löschen	https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies/{id}
Email Analyse und Wartung
Abfragen von E-Mail-Metadaten	LIST analyzedemails	https://graph.microsoft.com/beta/security/collaboration/analyzedemails?startTime={startTime}& endTime={endTime}
Abrufen von Details zu einer einzelnen Nachricht instance	GET analyzedemails/ID	https://graph.microsoft.com/beta/security/collaboration/analyzedemails/{Id}
Korrigieren analysierter E-Mails	analyzedEmai: remediate	https://graph.microsoft.com/beta/security/collaboration/analyzedemails/remediate
Identitäten
Auflisten von Integritätsproblemen	Auflisten von Integritätsproblemen	https://graph.microsoft.com/beta/security/identities/healthIssues

Sie können Microsoft Graph-Webhooks verwenden, um Updates für Microsoft Graph-Sicherheits-API-Entitäten zu abonnieren und zu erhalten.

Nächste Schritte

Die Microsoft Graph-Sicherheits-API kann Ihnen neue Möglichkeiten für die Interaktion mit verschiedenen Sicherheitslösungen von Microsoft und Partnern eröffnen. Gehen Sie folgendermaßen vor, um loszulegen:

• Führen Sie einen Drilldown zu Warnungen, tiIndicator (Vorschau), securityAction (Vorschau), secureScore, and secureScoreControlProfiles aus.
• Probieren Sie die API im Graph-Tester aus. Klicken Sie unter Beispielabfragen auf Mehr Beispiele anzeigen, und legen Sie die Kategorie „Sicherheit“ auf ein fest.
• Versuchen Sie, Benachrichtigungen zu Entitätsänderungen zu abonnieren und zu erhalten.

Verwandte Inhalte

Code und Mitwirken an diesem Beispiel für die Microsoft Graph-Sicherheits-API:

• PowerShell-Beispiel

Erkunden Sie weitere Optionen zum Herstellen einer Verbindung mit der Microsoft Graph-Sicherheits-API:

• Microsoft Graph-Sicherheitsconnectors für Logic Apps, Flow und Power Apps
• Beispiele für ein Jupyter-Notizbuch

Interaktion mit der Community:

• Treten Sie der technische Access-Community bei
• Diskutieren auf StackOverflow