Microsoft Graph セキュリティ API を使用する
Microsoft Graph セキュリティ API には、Microsoft およびエコシステム パートナーのセキュリティ ソリューションと統合するための統合インターフェイスとスキーマが用意されています。 これにより、お客様は、増加するサイバー脅威に対するセキュリティ操作と優れた防御を効率的に行うことができます。 Microsoft Graph セキュリティ API は、オンボードされているすべてのセキュリティ プロバイダーにクエリをフェデレーションし、応答を集計します。 Microsoft Graph セキュリティ API を使用して、次のアプリケーションを構築します。
- 複数のソースからのセキュリティ アラートを統合して関連付ける。
- Microsoft 365 Defender の一部または統合されているサービスから、すべてのインシデントとアラートをプルして調査します。
- コンテキスト データをロック解除し、調査について通知します。
- セキュリティ タスク、ビジネス プロセス、ワークフロー、レポートを自動化します。
- 脅威インジケーターを Microsoft 製品に送信して、カスタマイズされた検出を行います。
- 新しい脅威に応答して へのアクションを呼び出します。
- セキュリティ データを可視化して、プロアクティブなリスク管理を可能にします。
Microsoft Graph セキュリティ API には、次のセクションで説明する主な機能が用意されています。
高度な追及
高度なハンティングは、最大 30 日間の生データを探索できるクエリ ベースの脅威ハンティング ツールです。 ネットワーク内のイベントを事前に検査して、脅威インジケーターとエンティティを見つけることができます。 データへの柔軟なアクセスにより、既知の脅威と潜在的な脅威の両方を無制限に捜索できます。
runHuntingQuery を使用して、Microsoft 365 Defender に格納されているデータに対してKusto 照会言語 (KQL) クエリを実行します。 返された結果セットを使用して、既存の調査を強化するか、ネットワーク内の検出されていない脅威を明らかにします。
クォータとリソース割り当て
次の条件は、すべてのクエリに関連します。
- クエリは、過去 30 日間のデータを探索して返します。
- 結果は最大 100,000 行を返すことができます。
- テナントごとに 1 分あたり最大 45 回の呼び出しを行うことができます。 呼び出しの数は、そのサイズに基づいてテナントごとに異なります。
- 各テナントには、テナント サイズに基づいて CPU リソースが割り当てられます。 次の 15 分のサイクルの後まで、テナントが割り当てられたリソースの 100% に達した場合、クエリはブロックされます。 過剰消費によるブロックされたクエリを回避するには、「 CPU クォータに達しないようにクエリを最適化する」のガイダンスに従います。
- 1 つの要求が 3 分を超えて実行されると、タイムアウトになり、エラーが返されます。
-
429HTTP 応答コードは、割り当てられた CPU リソースに到達したことを示します。送信された要求の数、または割り当てられた実行時間のいずれかです。 応答本文を読んで、到達した制限を理解します。
アラート
アラートは、Microsoft またはパートナーのセキュリティ プロバイダーが特定し、アクションのフラグを設定した、顧客のテナント内の不審なアクティビティに関する詳細な警告です。 攻撃は通常、デバイス、ユーザー、メールボックスなど、さまざまな種類のエンティティに対してさまざまな手法を採用します。 その結果、テナント内の複数のエンティティに対する複数のセキュリティ プロバイダーからのアラートが生成されます。 個々のアラートをまとめ、攻撃に関する分析情報を得ることは、困難で時間がかかる場合があります。
セキュリティ API には、セキュリティ プロバイダーからの他のアラートを集計し、攻撃の分析と対応の判断を容易にする 2 種類のアラートが用意されています。
-
アラートとインシデント - Microsoft Graph セキュリティ API の最新世代のアラートです。 これらは、
microsoft.graph.security名前空間で定義されているアラート リソースとそのコレクション、インシデント リソースによって表されます。 -
従来のアラート - Microsoft Graph セキュリティ API の第 1 世代のアラートです。 これらは、
microsoft.graph名前空間で定義されているアラート リソースによって表されます。
アラートとインシデント
これらの アラート リソースは、まず、 Microsoft 365 Defender の一部または統合されたセキュリティ プロバイダー サービスからアラート データをプルします。 その後、データを使用して、完了または進行中の攻撃、影響を受ける資産、関連 する証拠に関する豊富で貴重な手掛かりを返します。 さらに、同じ攻撃手法または同じ攻撃者を持つ他のアラートを インシデント に自動的に関連付け、攻撃のより広範なコンテキストを提供します。 応答アクションと修復アクションを推奨し、すべての異なるプロバイダー間で一貫したアクション性を提供します。 豊富なコンテンツにより、アナリストは脅威を一括して調査して対応しやすくなります。
次のセキュリティ プロバイダーからのアラートは、これらの豊富なアラートとインシデントを介して利用できます。
- Microsoft Entra ID 保護
- Microsoft 365 Defender
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- Microsoft Purview データ損失防止
従来のアラート
注:
従来のアラート API は非推奨となり、2026 年 4 月までに削除される予定です。 新しい アラートとインシデント API に移行することをお勧めします。
従来の アラート リソースは、サポートされている Azure および Microsoft 365 Defender セキュリティ プロバイダーの呼び出しをフェデレーションします。 これらは、さまざまなドメイン間で共通のアラート データを集計して、アプリケーションが統合されたすべての統合ソリューションでセキュリティの問題の管理を統合および合理化できるようにします。 アプリケーションがアラートとコンテキストを関連付け、脅威の保護と対応を向上させることができます。
セキュリティ API のレガシ バージョンでは、サポートされている Azure と Microsoft 365 Defender セキュリティ プロバイダーの呼び出しをフェデレーションする アラート リソースが提供されます。 この アラート リソースは、さまざまなドメインで一般的なアラート データを集計して、アプリケーションが統合されたすべての統合ソリューションでセキュリティ問題の管理を統合および合理化できるようにします。 これにより、アプリケーションはアラートとコンテキストを関連付け、脅威の保護と対応を向上させることができます。
アラート更新機能を使用すると、アラート エンティティを更新することで、Microsoft Graph セキュリティ API と統合されているさまざまなセキュリティ製品やサービス間で特定の アラート の状態を同期できます。
次のプロバイダーからのアラートは、 アラート リソースを介して使用できます。 GET アラート、PATCH アラート、サブスクライブ (webhook を使用) のサポートを次の表に示します。
| セキュリティ プロバイダー | GET アラート |
PATCH アラート |
アラートへのサブスクライブ |
|---|---|---|---|
| Microsoft Entra ID 保護 | ✓ |
ファイルの問題 * |
✓ |
Microsoft 365
|
✓ |
||
| Microsoft Defender for Cloud Apps | ✓ |
ファイルの問題 * |
✓ |
| Microsoft Defender for Endpoint ** | ✓ |
✓ |
|
| Microsoft Defender for Identity *** | ✓ |
ファイルの問題 * |
✓ |
| Microsoft Sentinel (旧称 Azure Sentinel) | ✓ |
Microsoft Sentinelではサポートされていません |
✓ |
手記: 新しいプロバイダーは、Microsoft Graph セキュリティ エコシステムに継続的にオンボードしています。 新しいプロバイダーを要求したり、既存のプロバイダーからの延長サポートを要求したりするには、 Microsoft Graph セキュリティ GitHub リポジトリに問題を提出します。
* ファイルの問題: アラートの状態は Microsoft Graph セキュリティ API 統合アプリケーション全体で更新されますが、プロバイダーの管理エクスペリエンスには反映されません。
** Microsoft Defender for Endpointには、Microsoft Graph セキュリティ API で必要なユーザー ロールを追加する必要があります。 Microsoft Defender for Endpoint データにアクセスできるのは、Microsoft Defender for Endpoint と Microsoft Graph の両方のセキュリティ API ロールのユーザーのみです。 アプリケーションのみの認証はこれに限定されないため、アプリケーション専用認証トークンを使用することをお勧めします。
Microsoft Defender for Identityアラートは、Microsoft Defender for Cloud Apps統合を介して使用できます。 つまり、Unified SecOps に参加し、Microsoft Defender for IdentityをMicrosoft Defender for Cloud Appsに接続した場合にのみ、Microsoft Defender for Identityアラートが表示されます。 詳細については、「Microsoft Defender for Identity と Microsoft Defender for Cloud Apps を統合する方法」 を参照してください。
攻撃シミュレーションとトレーニング
攻撃シミュレーションとトレーニングは、Microsoft Defender for Office 365 の一部です。 このサービスにより、テナントのユーザーは現実的な良性のフィッシング攻撃を体験し、そこから学ぶことができます。 エンド ユーザー向けのソーシャル エンジニアリング シミュレーションとトレーニングの経験は、これらの攻撃手法によってユーザーが侵害されるリスクを軽減するのに役立ちます。 攻撃シミュレーションとトレーニングの API を使用すると、テナント管理者は、起動されたシミュレーションの演習とトレーニングを表示し、フィッシング シミュレーションでのユーザーのオンライン行動に派生する分析情報に関するレポートを取得できます。
電子情報開示
Microsoft Purview 電子情報開示 (プレミアム) は、組織の内部および外部の調査と関連性のあるコンテンツを保管、収集、確認、分析、エクスポートするための、エンドツーエンドのワークフローを提供します。
ID
正常性の問題
Microsoft Defender for Identity正常性の問題 API を使用すると、ハイブリッド ID インフラストラクチャ全体でセンサーとエージェントの正常性状態を監視できます。 正常性の問題 API を使用して、問題の種類、状態、構成、重大度など、センサーの現在の正常性の問題に関する情報を取得できます。 また、この API を使用して、センサーとエージェントの機能またはセキュリティに影響を与える可能性がある問題を特定して解決することもできます。
手記:Microsoft Defender for Identity正常性の問題 API は、Defender for Identity プランまたは Microsoft 365 E5/A5/G5/F5 セキュリティ サービス プランでのみ使用できます。
インシデント
インシデントは、関連付けられたアラートと、攻撃のストーリーを構成する関連データのコレクションです。 インシデント管理は Microsoft 365 Defender の一部であり、Microsoft 365 Defender ポータル (https://security.microsoft.com/) で利用できます。
Microsoft 365 サービスおよびアプリは、疑わしい、または悪意のあるイベントやアクティビティを検出した場合にアラートを作成します。 個々のアラートは、完了した攻撃、または進行中の攻撃に関する貴重な手がかりとなります。 ただし、攻撃は通常、デバイス、ユーザー、メールボックスなどの異なる種類のエンティティに対抗してさまざまな技術を採用しています。 その結果、テナント内の複数のエンティティに複数のアラートが表示されます。
攻撃の分析情報を得るために個々のアラートをまとめることは困難で時間がかかる可能性があるため、Microsoft 365 Defender はアラートとその関連情報をインシデントに自動的に集計します。
関連するアラートをインシデントにグループ化することで、攻撃を包括的に表示します。 たとえば、次が表示されます。
- 攻撃の開始場所。
- 使用された戦術。
- 攻撃がテナントに侵入した距離。
- 攻撃の範囲 (影響を受けたデバイス、ユーザー、メールボックスの数など)。
- 攻撃に関連付けられているすべてのデータ。
インシデント リソースとその API を使用すると、インシデント経由で並べ替えを行い、情報に基づくサイバーセキュリティ対応を作成することができます。 これは、環境保持ポリシーで指定した時間内に、ネットワークにフラグが設定されたインシデントのコレクションを、関連する アラートと共に公開します。
情報保護
Microsoft Graph の脅威評価 API は、テナント内のユーザーが受け取った脅威を組織が評価する上で役立ちます。 これによりお客様は、受信した迷惑メール、フィッシング URL、マルウェアの添付ファイルを、 Microsoft に報告できるようになります。 ポリシーの確認結果と再スキャンの結果は、テナント管理者が脅威スキャニングの判定を理解し、組織ポリシーを調整する上で役に立ちます。
レコード管理
ほとんどの組織は、業界の規制や内部ポリシーに積極的に準拠し、訴訟やセキュリティ違反が発生した場合のリスクを軽減し、最新かつ関連性の高い知識を効果的かつアジャイルに共有できるように、データを管理する必要があります。 レコード管理 API を使用すると、異なる保持設定を必要とするさまざまな種類のコンテンツに保持ラベルを体系的に適用できます。 たとえば、コンテンツの作成、最終変更、ラベル付け、または特定のイベントの種類に対してイベントが発生したときから、保持期間の開始を構成できます。 さらに、 ファイル プラン記述子を 使用して、これらの保持ラベルの管理性を向上させることができます。
セキュア スコア
Microsoft セキュア スコアは、セキュリティ ポートフォリオを可視化し、その方法を向上させるためのセキュリティ分析ソリューションです。 1 つのスコアを使用すると、Microsoft ソリューションのリスクを軽減するために行ったことをよりよく理解できます。 また、自分のスコアを他の組織のスコアと比較したり、スコアが時間とともにどのように変化する傾向があるかも理解できます。 Microsoft Graph セキュリティ secureScore エンティティと secureScoreControlProfile エンティティは、セキュリティ機能を適切に組み合わせながら、organizationのセキュリティと生産性のニーズのバランスを取るのに役立ちます。 また、セキュリティ機能を採用した後にスコアがどのように変化するかも予想できます。
脅威インテリジェンス
Microsoft Defender 脅威インテリジェンスは、最新のサイバー脅威からorganizationを保護するのに役立つ、世界クラスの脅威インテリジェンスを提供します。 脅威インテリジェンスを使用すると、敵対者とその操作を特定し、検出と修復を高速化し、セキュリティへの投資とワークフローを強化できます。
脅威インテリジェンス API を使用すると、ユーザー インターフェイス内で検出されたインテリジェンスを運用化できます。 これには、記事と Intel プロファイルの形式の完成したインテリジェンス、IoC や評判判定などのマシン インテリジェンス、パッシブ DNS、Cookie、コンポーネント、トラッカーなどのエンリッチメント データが含まれます。
一般的なユース ケース
Microsoft Graph セキュリティ API を操作するための最も一般的な要求の一部を次に示します。
Microsoft Graph Webhook を 使用して、Microsoft Graph セキュリティ エンティティの更新に関する通知をサブスクライブして受信できます。
リソース
次の Microsoft Graph セキュリティ API サンプルをコーディングして投稿します。
以下のコミュニティに参加できます。
次のステップ
Microsoft Graph セキュリティ API を使用すると、Microsoft やパートナーのさまざまなセキュリティ ソリューションと連携するための新しい方法を開くことができます。 以下の手順に従って開始しましょう。
- アラート、 secureScore、およびsecureScoreControlProfilesにドリルダウンします。
- Graph エクスプローラーで API をお試しください。 [サンプル クエリ] で、[サンプルをさらに表示] を選択してセキュリティ カテゴリを [オン]に設定します。
- エンティティ変更時の通知のサブスクライブと受信を試します。
関連コンテンツ
次の Microsoft Graph セキュリティ API サンプルをコーディングして投稿します。
Microsoft Graph セキュリティ API に接続するためのその他のオプションを確認します。
以下のコミュニティに参加できます。