Utiliser les API Microsoft Graph pour Microsoft Defender Threat Intelligence
Remarque
Microsoft API Graph pour Microsoft Defender Threat Intelligence nécessite une licence active du portail Defender Threat Intelligence et une licence de module complémentaire d’API pour le locataire.
Les organisations qui effectuent une analyse de l’infrastructure des menaces et collectent des informations sur les menaces peuvent utiliser Microsoft Defender Threat Intelligence (Defender TI) pour simplifier le triage, la réponse aux incidents, la chasse aux menaces, la gestion des vulnérabilités et les flux de travail des analystes du renseignement sur les cybermenaces. En outre, vous pouvez utiliser les API exposées par Microsoft Defender Threat Intelligence sur Microsoft Graph pour fournir des informations sur les menaces de classe mondiale qui vous aident à protéger vos organization contre les cybermenaces modernes. Vous pouvez identifier les adversaires et leurs opérations, accélérer la détection et la correction, et améliorer vos investissements et workflows de sécurité.
Ces API de renseignement sur les menaces vous permettent d’opérationnaliser l’intelligence trouvée dans l’interface utilisateur. Cela inclut l’intelligence terminée sous la forme d’articles et de profils intel, l’intelligence machine, y compris les indicateurs de compromission (IOC) et les verdicts de réputation, et enfin, les données d’enrichissement, y compris le DNS passif, les cookies, les composants et les suivis.
Autorisation
Pour appeler les API de renseignement sur les menaces dans Microsoft Graph, votre application doit acquérir un jeton d’accès. Pour plus d’informations sur les jetons d’accès, reportez-vous à l’article Obtenir des jetons d’accès pour appeler Microsoft Graph. Votre application a également besoin des autorisations appropriées. Pour plus d’informations, consultez Autorisations de renseignement sur les menaces.
Cas d’utilisation courants
Les API de renseignement sur les menaces appartiennent à quelques catégories main :
- Détails écrits sur une menace ou un acteur de menace, tels que article et intelligenceProfile.
- Propriétés relatives à un hôte, telles que hostCookie, passiveDns ou whois.
Le tableau suivant répertorie certains cas d’usage courants pour les API de renseignement sur les menaces.
| Cas d'utilisation | Ressources REST | Voir aussi |
|---|---|---|
| Lisez des articles sur le renseignement sur les menaces. | Article | Méthodes de l’article |
| Lisez des informations sur un hôte qui est actuellement ou était précédemment disponible sur Internet et qui Microsoft Defender Threat Intelligence détecté. Vous pouvez obtenir plus de détails sur un hôte, notamment les cookies associés, les entrées DNS passives, la réputation, etc. | hôte, hostCookie, passiveDnsRecord, hostReputation |
Méthodes de l’hôte |
| Lire des informations sur les composants web observés sur un hôte. | hostComponent | Méthodes de hostComponent |
| Lire des informations sur les cookies observés sur un hôte. | hostCookie | Méthodes de hostCookie |
| Découvrez les paires d’hôtes référentielles observées à propos d’un hôte. Les paires d’hôtes incluent des détails tels que des informations sur les redirections HTTP, la consommation de CSS ou d’images à partir d’un hôte, etc. | hostPair | Méthodes de hostPair |
| Découvrez des informations sur les ports que Microsoft Defender Threat Intelligence a observés sur un hôte, y compris les composants de ces ports, le nombre de fois où un port a été observé et ce que contient chaque réponse de bannière de port hôte. | hostPort, hostPortComponent, hostPortBanner |
Méthodes de hostPort |
| Lire les données de certificat SSL observateures sur un hôte. Ces données incluent des informations sur le certificat SSL et la relation entre l’hôte et le certificat SSL. | hostSslCertificate, sslCertificate |
Méthodes de hostSslCertificate |
| Lire les suivis Internet observés sur un hôte. | hostTracker | Méthodes de hosttracker |
| Lisez les profils de renseignement sur les acteurs des menaces et les outils courants de compromission. | intelligenceProfile, intelligenceProfileIndicator |
Méthodes d’intelligenceProfile |
| Lire les enregistrements DNS passifs (PDNS) d’un hôte. | passiveDnsRecord | Méthodes de passiveDnsRecord |
| Lire les données de certificat SSL. Ces informations sont autonomes à partir des détails sur la façon dont le certificat SSL est lié à un hôte. | sslCertificate | Méthodes de sslCertificate |
| Lire les détails du sous-domaine d’un hôte. | Sous-domaine | Méthodes du sous-domaine |
| Lisez les détails d’une vulnérabilité. | Vulnérabilité | Méthodes de vulnérabilité |
| Lire les détails WHOIS d’un hôte. | whoisRecord | Méthodes de whoisRecord |
Prochaines étapes
Les API de renseignement sur les menaces dans Microsoft Graph peuvent vous aider à protéger vos organization contre les cybermenaces modernes. Pour en savoir plus :
- En accédant aux données détaillées des méthodes et des propriétés des ressources les plus utiles pour votre cas.
- Essayez l’API dans l’Afficheur Graph.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour