Uso de las API de Microsoft Graph para Inteligencia contra amenazas de Microsoft Defender
Nota:
Microsoft Graph API para Inteligencia contra amenazas de Microsoft Defender requiere una licencia activa del Portal de Inteligencia sobre amenazas de Defender y una licencia de complemento de API para el inquilino.
Las organizaciones que realizan análisis de infraestructura de amenazas y recopilan inteligencia sobre amenazas pueden usar Inteligencia contra amenazas de Microsoft Defender (TI de Defender) para simplificar los flujos de trabajo de análisis de evaluación de riesgos, respuesta a incidentes, búsqueda de amenazas, administración de vulnerabilidades y analistas de inteligencia sobre amenazas cibernéticas. Además, puede usar las API expuestas por Inteligencia contra amenazas de Microsoft Defender en Microsoft Graph para ofrecer inteligencia sobre amenazas de primera clase que ayude a proteger su organización frente a ciberamenazas modernas. Puede identificar adversarios y sus operaciones, acelerar la detección y corrección, y mejorar sus inversiones y flujos de trabajo de seguridad.
Estas API de inteligencia sobre amenazas le permiten poner en funcionamiento la inteligencia que se encuentra en la interfaz de usuario. Esto incluye inteligencia finalizada en las formas de artículos y perfiles de intel, inteligencia artificial, incluidos indicadores de riesgo (IoC) y veredictos de reputación y, por último, datos de enriquecimiento, incluidos DNS pasivos, cookies, componentes y rastreadores.
Autorización
Para llamar a las API de inteligencia sobre amenazas en Microsoft Graph, la aplicación debe adquirir un token de acceso. Para obtener más información sobre los tokens de acceso, vea Obtener tokens de acceso para llamar a Microsoft Graph. La aplicación también necesita los permisos adecuados. Para obtener más información, consulte Permisos de inteligencia sobre amenazas.
Casos de uso comunes
Las API de inteligencia sobre amenazas se dividen en algunas categorías principales:
- Detalles escritos sobre una amenaza o un actor de amenazas, como article e intelligenceProfile.
- Propiedades sobre un host, como hostCookie, passiveDns o whois.
En la tabla siguiente se enumeran algunos casos de uso comunes para las API de inteligencia sobre amenazas.
| Casos de uso | Recursos de REST | Consulte también |
|---|---|---|
| Lea artículos sobre inteligencia sobre amenazas. | Artículo | Métodos de artículo |
| Lea información sobre un host que está o estaba disponible anteriormente en Internet y que Inteligencia contra amenazas de Microsoft Defender detectó. Puede obtener más detalles sobre un host, incluidas las cookies asociadas, las entradas dns pasivas, la reputación y mucho más. |
host, hostCookie, passiveDnsRecord, hostReputation |
Métodos de host |
| Lea información sobre los componentes web observados en un host. | hostComponent | Métodos de hostComponent |
| Lea información sobre las cookies observadas en un host. | hostCookie | Métodos de hostCookie |
| Detectar pares de host referenciales observados sobre un host. Los pares de host incluyen detalles como información sobre los redireccionamientos HTTP, el consumo de CSS o imágenes de un host, etc. | hostPair | Métodos de hostPair |
| Descubra información sobre los puertos que Inteligencia contra amenazas de Microsoft Defender ha observado en un host, incluidos los componentes de esos puertos, el número de veces que se ha observado un puerto y lo que contiene cada respuesta de banner de puerto de host. |
hostPort, hostPortComponent, hostPortBanner |
Métodos de hostPort |
| Lea los datos del certificado SSL que se observan en un host. Estos datos incluyen información sobre el certificado SSL y la relación entre el host y el certificado SSL. |
hostSslCertificate, sslCertificate |
Métodos de hostSslCertificate |
| Lee los seguimientos de Internet observados en un host. | hostTracker | Métodos de hosttracker |
| Lea los perfiles de inteligencia sobre los actores de amenazas y las herramientas comunes de riesgo. |
intelligenceProfile, intelligenceProfileIndicator |
Métodos de intelligenceProfile |
| Lee registros de DNS pasivo (PDNS) sobre un host. | passiveDnsRecord | Métodos de passiveDnsRecord |
| Lee los datos del certificado SSL. Esta información es independiente de los detalles sobre cómo se relaciona el certificado SSL con un host. | sslCertificate | Métodos de sslCertificate |
| Lea los detalles del subdominio de un host. | Subdominio | Métodos de subdominio |
| Lea los detalles sobre una vulnerabilidad. | Vulnerabilidad | Métodos de vulnerabilidad |
| Lea los detalles de WHOIS para un host. | whoisRecord | Métodos de whoisRecord |
Pasos siguientes
Las API de inteligencia sobre amenazas de Microsoft Graph pueden ayudar a proteger su organización frente a ciberamenazas modernas. Para obtener más información:
- Explore en profundidad los métodos y las propiedades de los recursos más útiles para su escenario.
- Pruebe la API en el Probador de Graph.