Usar la API de Microsoft Graph Security

Importante

Las API de la /beta versión de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de versiones .

La API de Microsoft Graph Security proporciona una interfaz unificada y un esquema que permite integrarse con soluciones de seguridad de Microsoft y los partners del ecosistema. Esto permite a los clientes simplificar las operaciones de seguridad y defenderse mejor contra el número creciente de ciberamenazas. La API de seguridad de Microsoft Graph federa consultas para todos los proveedores de seguridad incorporados y agrega las respuestas. Use la API de Microsoft Graph Security para crear aplicaciones que:

  • Consoliden y pongan en correlación alertas de seguridad de varios orígenes
  • Desbloqueen datos contextuales para obtener información para investigaciones
  • Automaticen tareas de seguridad, procesos de negocio, flujos de trabajo e informes
  • Envíen indicadores de amenazas a los productos de Microsoft para detecciones personalizadas
  • Invoquen acciones en respuesta a nuevas amenazas
  • Proporcionen visibilidad sobre los datos de seguridad para permitir una administración de riesgos proactiva

En la API de Microsoft Graph Security, se incluyen las siguientes entidades clave.

Acciones (versión preliminar)

Tome medidas inmediatas para defenderse de amenazas con la entidad securityAction de Microsoft Graph Security. Cuando un analista de seguridad detecta un indicador nuevo, como un archivo, URL, dominio o dirección IP malintencionados, se puede habilitar la protección al instante en las soluciones de seguridad de Microsoft. Invoque una acción para un proveedor específico, vea todas las acciones realizadas y cancele una acción, si es necesario. Pruebe las acciones de seguridad con Microsoft Defender para punto de conexión (anteriormente ATP de Microsoft Defender) para bloquear la actividad malintencionada en los puntos de conexión de Windows mediante propiedades que se ven en alertas o identificadas durante investigaciones.

Nota: las acciones de seguridad solo admiten actualmente permisos de aplicación.

Alertas

Las alertas son posibles problemas de seguridad en el inquilino de un cliente que las soluciones de seguridad de Microsoft o de los partners han identificado y se han marcado para una acción o notificación. Con la entidad alerts de Microsoft Graph Security, puede unificar y simplificar la administración de los problemas de seguridad en todas las soluciones integradas. Esto también permite a las aplicaciones poner en correlación alertas y contexto para mejorar la respuesta y la protección contra amenazas. Con la función de actualizaciones de alertas, puede sincronizar el estado de alertas específicas en distintos productos y servicios de seguridad integrados en la API de Microsoft Graph Security al actualizar la entidad alerts.

Las alertas de los siguientes proveedores están disponibles a través de la API de seguridad de Microsoft Graph Security. La compatibilidad para OBTENER alertas, REVISAR alertas y Suscribirse (a través de webhooks) se indicarán en la siguiente tabla.

Proveedor de seguridad

OBTENER alerta

REVISAR alerta

Suscribirse a alerta

Azure Security Center

Azure Active Directory Identity Protection

Problema del archivo *

Microsoft Defender for Cloud Apps (anteriormente Microsoft Cloud App Security)

Problema del archivo *

Microsoft Defender para punto de conexión (anteriormente ATP de Microsoft Defender) **

Informar de problema

Microsoft Defender for Identity (anteriormente Protección contra amenazas avanzada de Azure) ***

Problema del archivo *

Microsoft 365

Informar de problema

Informar de problema

Azure Information Protection (versión preliminar)

Problema del archivo *

Azure Sentinel (versión preliminar)

No es compatible con Azure Sentinel

Nota: Continuamente se agregan nuevos proveedores al ecosistema de Microsoft Graph Security. Para solicitar nuevos proveedores o soporte ampliado de proveedores existentes, archive un informe un problema en el repositorio de GitHub de Microsoft Graph Security.

* Problema del archivo: El estado de la alerta se actualiza en todas las aplicaciones integradas de API Microsoft Graph Security, pero no se refleja en la experiencia de administración del proveedor.

** Microsoft Defender para punto de conexión requiere roles de usuario adicionales a los que requiere la API Microsoft Graph Security. Solo los usuarios con roles de Microsoft Defender para punto de conexión y API Microsoft Graph Security tienen acceso a los datos de Microsoft Defender para punto de conexión. Esto no limita la autenticación solo de la aplicación, por lo que le recomendamos que use un token de autenticación solo de la aplicación.

*** Las alertas de Microsoft Defender for Identity están disponibles a través de la integración de Microsoft Defender for Cloud Apps. Esto significa que recibirá alertas de Microsoft Defender for Identity solo si se ha unido a SecOps unificado y ha conectado Microsoft Defender for Identity en Microsoft Defender for Cloud Apps. Obtenga más información sobre cómo integrar Microsoft Defender for Identity y Microsoft Defender for Cloud Apps.

Simulación y entrenamiento de ataques (vista previa)

La simulación de ataques y entrenamiento forma parte de Microsoft Defender para Office 365. Este servicio permite a los usuarios de un inquilino experimentar un ataque de phishing benigno realista y aprender de él. Las experiencias de simulación y aprendizaje de ingeniería social para los usuarios finales ayudan a reducir el riesgo de que los usuarios no cumplan a través de esas técnicas de ataque. La API de simulación de ataques y aprendizaje permite a los administradores de inquilinos ver los ejercicios y aprendizajes de simulación iniciados y obtener informes sobre ideas derivadas en los comportamientos en línea de los usuarios en las simulaciones de phishing.

eDiscovery (versión preliminar)

Microsoft Purview eDiscovery (premium) ofrece un flujo de trabajo de un extremo a otro para conservar, recopilar, revisar, analizar y exportar el contenido que responde a las investigaciones internas y externas de la organización.

Protección de la información

Etiquetas: las etiquetas de protección de información indican cómo aplicar correctamente una etiqueta de carácter a la información. La API de la etiqueta de protección de la información describe la configuración de las etiquetas de sensibilidad que se aplican a un usuario o un espacio empresarial.

Evaluación de amenazas: la API de evaluación de amenazas de Microsoft Graph ayuda a las organizaciones a evaluar la amenaza que recibe cualquier usuario en un espacio empresarial. Esto permite a los clientes informar a Microsoft de los mensajes de correo no deseado o sospechosos, direcciones URL de suplantación de identidad y datos adjuntos malintencionados que reciben. Microsoft comprueba el ejemplo en cuestión y las directivas organizativas en juego antes de generar un resultado para que los administradores de inquilinos puedan comprender el veredicto del examen de amenazas y ajustar su directiva organizativa. También pueden usarlo para informar de correos electrónicos legítimos para evitar que se bloqueen.

Nota: se recomienda usar la API de envío de amenazas en su lugar.

Puntuación de seguridad

Puntuación de seguridad de Microsoft es una solución de análisis de seguridad que le permite ver su cartera de seguridad y conocer cómo mejorarla. Con una única puntuación, puede comprender mejor las acciones que ha realizado para reducir su riesgo en las soluciones de Microsoft. También puede comparar su puntuación con otras organizaciones y ver las tendencias de su puntuación con el paso del tiempo. Las entidades secureScore y secureScoreControlProfile de Microsoft Graph Security le permiten equilibrar las necesidades de productividad de seguridad de la organización al facilitar una mezcla adecuada de características de seguridad. También puede proyectar cuál sería su puntuación después de adoptar características de seguridad.

Indicadores de inteligencia sobre amenazas (versión preliminar)

Los indicadores de amenazas, también llamados indicadores de peligro (IoCs), representan datos sobre las amenazas conocidas, como direcciones IP, dominios, direcciones URL y archivos malintencionados. Los clientes pueden generar indicadores mediante la recopilación de inteligencia de amenazas internas o adquirir indicadores de comunidades de inteligencia de amenazas, fuentes con licencia y otros orígenes. Estos indicadores se usarán en varias herramientas de seguridad para defenderse de las amenazas relacionadas.

La entidad tiIndicators de Microsoft Graph Security permite a los clientes agregar indicadores de amenazas a soluciones de seguridad de Microsoft para habilitar acciones de bloqueo y alertas en caso de actividad malintencionada o habilitar la opción de permitir, lo que suprime las acciones para indicadores que no se consideran relevantes en una organización. Al enviar indicadores, se especifican la solución de Microsoft que usará el indicador y la acción que se realizará ante el indicador.

Puede integrar la entidad tiIndicator en su aplicación o usar una de las siguientes plataformas de inteligencia de amenazas integradas (TIP):

Los indicadores de amenazas que se envían mediante la API Microsoft Graph Security están disponibles actualmente en los siguientes productos:

  • Azure Sentinel: le permite relacionar indicadores de amenazas con datos de registro para recibir alertas sobre actividad malintencionada.
  • Microsoft Defender para punto de conexión: permite alertar o bloquear los indicadores de amenazas asociados con actividad malintencionada. También puede permitir un indicador para ignorar el indicador de las investigaciones automatizadas. Para obtener más información sobre los tipos de indicadores compatibles y los límites de los recuentos de indicadores por inquilino, vea Administrar indicadores.

La compatibilidad con otros servicios de seguridad de Microsoft, estará disponible próximamente.

Envío de amenazas

La API de envío de amenazas de Microsoft Graph ayuda a las organizaciones a enviar una amenaza recibida por cualquier usuario de un inquilino. Esto permite a los clientes informar a Microsoft de los mensajes de correo no deseado o sospechosos, direcciones URL de suplantación de identidad y datos adjuntos malintencionados que reciben. Microsoft comprueba el envío en relación con las directivas de la organización en vigor y lo envía a los evaluadores humanos para su análisis. El resultado ayuda a los administradores de inquilinos a comprender el veredicto del examen de amenazas y a ajustar su directiva organizativa. Los administradores también pueden usar los resultados para informar de correos electrónicos legítimos para evitar que se bloqueen.

**Nota: ** se recomienda usar esta API en lugar de la API de evaluación de amenazas de Information Protection en desuso. La API de envío de amenazas proporciona una funcionalidad unificada de envío de amenazas de seguridad y agrega compatibilidad con resultados unificados, compatibilidad con consultas de envío de usuarios, compatibilidad con listas de permitidos y bloqueados de inquilinos, compatibilidad con revisiones de administrador y compatibilidad con el modo de solo aplicación.

Casos de uso comunes

Estas son algunas de las solicitudes más populares para trabajar con la API de Microsoft Graph Security.

Casos de uso Recursos de REST Probar en el Probador de Graph
Acciones (versión preliminar)
Obtener acción de seguridad Obtener acción de seguridad https://graph.microsoft.com/beta/security/securityActions/{id}
Enumerar acciones de seguridad Enumerar acciones de seguridad https://graph.microsoft.com/beta/security/securityActions
Crear acciones de seguridad Crear acciones de seguridad https://graph.microsoft.com/beta/security/securityActions
Cancelar acción de seguridad Cancelar acciones de seguridad https://graph.microsoft.com/beta/security/securityActions/{id}/cancelSecurityAction
Alertas
Lista de alertas List alerts https://graph.microsoft.com/beta/security/alerts
Actualizar alertas Actualizar alerta
Actualizar varias alertas
https://graph.microsoft.com/beta/security/alerts/{alert-id}
https://graph.microsoft.com/beta/security/alerts/updateAlerts
Simulación y entrenamiento de ataques (versión preliminar)
Enumerar simulaciones Enumerar simulaciones https://graph.microsoft.com/beta/security/attackSimulation/simulations
Obtener informe de información general sobre simulación Obtener informe de información general sobre simulación https://graph.microsoft.com/beta/security/attackSimulation/simulations/{id}/report/overview
Enumerar informe de usuarios sobre simulación Enumerar informe de usuarios sobre simulación https://graph.microsoft.com/beta/security/attackSimulation/simulations/{id}/report/simulationUsers
eDiscovery
Enumerar casos de eDiscovery Enumerar eDiscoveryCases https://graph.microsoft.com/beta/security/cases/eDiscoveryCases
Enumerar operaciones de casos de eDiscovery Enumerar caseOperations https://graph.microsoft.com/beta/security/cases/eDiscoverycases/{id}/operations
Puntuaciones de seguridad
Enumerar Puntuaciones de seguridad Enumerar secureScores https://graph.microsoft.com/beta/security/secureScores
Perfiles de control de Puntuación de seguridad
Enumerar perfiles de control de puntuación segura Enumerar secureScoreControlProfiles https://graph.microsoft.com/beta/security/secureScoreControlProfiles
Actualizar perfiles de control de puntuación de seguridad Actualizar secureScoreControlProfiles https://graph.microsoft.com/beta/security/secureScoreControlProfiles/{id}
Indicaciones de inteligencia sobre amenazas (versión preliminar)
Obtener el indicador de TI Obtener tiIndicator https://graph.microsoft.com/beta/security/tiIndicators/{id}
Enumerar indicadores de TI Enumerar tiIndicators https://graph.microsoft.com/beta/security/tiIndicators
Crear indicador de TI Crear tiIndicator https://graph.microsoft.com/beta/security/tiIndicators
Enviar indicadores de TI Enviar tiIndicators https://graph.microsoft.com/beta/security/tiIndicators/submitTiIndicators
Actualizar indicadores de TI Actualizar tiIndicator
Actualizar varios tiIndicators
https://graph.microsoft.com/beta/security/tiIndicators/{id}
https://graph.microsoft.com/beta/security/tiIndicators/updateTiIndicators
Eliminar indicadores de TI Eliminar tiIndicator
Eliminar varios tiIndicators
Eliminar tiIndicator por externalId
ELIMINAR
https://graph.microsoft.com/beta/security/tiIndicators/{id}
PUBLICAR
https://graph.microsoft.com/beta/security/tiIndicators/deleteTiIndicators
PUBLICAR
https://graph.microsoft.com/beta/security/tiIndicators/deleteTiIndicatorsByExternalId
Envío de amenazas
Obtener envío de amenazas por correo electrónico Obtener emailThreat https://graph.microsoft.com/beta/security/threatSubmission/emailThreats/{id}
Enumerar envíos de amenazas por correo electrónico Enumerar emailThreats https://graph.microsoft.com/beta/threatSubmission/emailThreats
Crear envío de amenazas por correo electrónico Crear emailThreat https://graph.microsoft.com/beta/security/threatSubmission/emailThreats
Revisar el envío de amenazas por correo electrónico Revisar emailThreat https://graph.microsoft.com/beta/security/threatSubmission/emailThreats/{id}/review
Obtener envío de amenazas de archivo Obtener fileThreat https://graph.microsoft.com/beta/security/threatSubmission/fileThreats/{id}
Enumerar envíos de amenazas de archivos Enumerar fileThreats https://graph.microsoft.com/beta/threatSubmission/urlThreats
Crear envío de amenazas de archivo Crear archivoThreat https://graph.microsoft.com/beta/security/threatSubmission/fileThreats
Obtener el envío de amenazas de URL Obtener urlThreat https://graph.microsoft.com/beta/security/threatSubmission/urlThreats/{id}
Enumerar envíos de amenazas de URL Enumerar urlThreats https://graph.microsoft.com/beta/security/threatSubmission/urlThreats
Crear envío de amenazas de URL Crear urlThreat https://graph.microsoft.com/beta/security/threatSubmission/urlThreats
Obtener directiva de envío de amenazas por correo electrónico Obtener emailThreatSubmissionPolicy https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies/{id}
Enumerar directivas de envío de amenazas por correo electrónico Enumerar emailThreatSubmissionPolicies https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies
Crear directiva de envío de amenazas por correo electrónico Crear emailThreatSubmissionPolicy https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies
Actualizar directiva de envío de amenazas por correo electrónico Actualizar emailThreatSubmissionPolicy https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies/{id}
Eliminar directiva de envío de amenazas por correo electrónico Eliminar emailThreatSubmissionPolicy https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies/{id}

Puede usar los webhooks de Microsoft Graph para suscribirse y recibir notificaciones sobre actualizaciones en las entidades de API de Microsoft Graph Security.

Novedades

Descubra las nuevas características y actualizaciones para estos conjuntos de API.

Pasos siguientes

La API Microsoft Graph Security puede ofrecer nuevas formas de interactuar con diferentes soluciones de seguridad de Microsoft y sus partners. Siga estos pasos para comenzar:

¿Necesita más ideas? Vea cómo algunos de nuestros partners usan Microsoft Graph.

Vea también

Desarrolle código y colabore en estos ejemplos de la API de Microsoft Graph Security:

Explore otras opciones para conectarse con la API de Microsoft Graph Security:

Interactúe con la comunidad: