Microsoft Graph セキュリティ API を使用する
重要
Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。
Microsoft Graph セキュリティ API には、Microsoft およびエコシステム パートナーのセキュリティ ソリューションと統合するための統合インターフェイスとスキーマが用意されています。 お客様は、セキュリティ運用を合理化し、サイバー脅威の増大に対する防御を強化できます。 Microsoft Graph セキュリティ API は、オンボードされているすべてのセキュリティ プロバイダーにクエリをフェデレーションし、応答を集計します。 Microsoft Graph セキュリティ API を使用して、次のアプリケーションを構築します。
- 複数のソースからのセキュリティ アラートを統合して関連付ける。
- Microsoft 365 Defender の一部または統合されているサービスから、すべてのインシデントとアラートをプルして調査します。
- コンテキスト データをロック解除し、調査について通知します。
- セキュリティ タスク、ビジネス プロセス、ワークフロー、レポートを自動化します。
- 脅威インジケーターを Microsoft 製品に送信して、カスタマイズされた検出を行います。
- 新しい脅威に応答して へのアクションを呼び出します。
- セキュリティ データを可視化して、プロアクティブなリスク管理を可能にします。
Microsoft Graph セキュリティ API には、次のセクションで説明する主な機能が用意されています。
アクション (プレビュー)
securityAction エンティティを使用して、脅威から防御するための直ちにアクションを実行します。 セキュリティ アナリストが、悪意のあるファイル、URL、ドメイン、IP アドレスなどの新しいインジケーターを発見した場合、Microsoft のセキュリティ ソリューションでそれらに対する保護をすぐに有効にできます。 特定のプロバイダーのアクションを呼び出し、実行されるすべての操作を表示し、必要な場合は操作を取り消します。 Microsoft Defender for Endpoint (旧 Microsoft Defender ATP) でセキュリティ アクションを実行し、アラートに表示されたプロパティまたは調査で特定されたプロパティを使用して Windows のエンドポイント上の悪意のあるアクティビティをブロックします。
注: 現在、セキュリティ アクションでサポートされているのは、アプリケーションのアクセス許可のみです。
高度な追及
高度な捜索は、クエリ ベースの脅威の捜索ツールで、最大 30 日間のロー データを検索できます。 ネットワーク内のイベントを事前に検査して、脅威インジケーターとエンティティを見つけることができます。 データへの柔軟なアクセスにより、既知の脅威と潜在的な脅威の両方を無制限に捜索できます。
runHuntingQuery を使用して、Microsoft 365 Defender に格納されているデータに対してKusto 照会言語 (KQL) クエリを実行します。 返された結果セットを利用して、既存の調査を強化するか、ネットワーク内の検出されていない脅威を明らかにします。
クォータとリソース割り当て
過去 30 日間のデータに対してクエリを実行できます。
結果には、最大 100,000 行が含まれます。
実行の数はテナントごとに制限されます。
- API 呼び出し: 1 分あたり最大 45 要求、1 時間あたり最大 1500 要求。
- 実行時間: 1 時間ごとに 10 分の実行時間、1 日に 3 時間の実行時間。
1 つの要求の最大実行時間は 200 秒です。
HTTP 429 の応答コードは、API 呼び出しの数または実行時間のいずれかのクォータに達したことを意味します。 応答本文を参照して、上限に達したことを確認します。
1 つの要求のクエリ結果の最大サイズは 124 MB を超えることはできません。 サイズ制限を超えると、HTTP 400 不正な要求が発生し、「クエリの実行が許可された結果サイズを超えました。 結果の数を制限してクエリを最適化し、やり直してください。
カスタム検出
セキュリティ操作に固有の高度なハンティング カスタム検出ルール を作成して、脅威を事前に監視し、アクションを実行できます。 たとえば、既知のインジケーターやデバイスの構成ミスを探すカスタム検出ルールを作成できます。 これにより、指定したアラートと応答アクションが自動的にトリガーされます。
クォータ
- 複数のルールを取得する: アプリケーションごとに 1 分あたり 10 ルール、アプリケーションあたり 1 時間あたり 300 ルール、テナントあたり 1 時間あたり 600 ルール
- 1 つのルールを取得する: アプリケーションあたり 1 分あたり 100 ルール、アプリケーションあたり 1 時間あたり 1,500 ルール、テナントあたり 1 時間あたり 1,800 ルール
- Create ルール: アプリケーションあたり 1 分あたり 10 ルール、アプリケーションあたり 1 時間あたり 1,500 ルール、テナントあたり 1 時間あたり 1,800 ルール
- 更新ルール: アプリケーションごとに 1 分あたり 100 ルール、アプリケーションあたり 1 時間あたり 1,500 ルール、テナントあたり 1 時間あたり 1,800 ルール
- ルールの削除: アプリケーションごとに 1 分あたり 100 ルール、アプリケーションあたり 1 時間あたり 1,500 ルール、テナントあたり 1 時間あたり 1,800 ルール
アラート
アラートは、Microsoft またはパートナーのセキュリティ プロバイダーによって特定され、アクションのフラグが設定された、顧客のテナント内の不審なアクティビティに関する詳細な警告です。 攻撃は通常、デバイス、ユーザー、メールボックスなど、さまざまな種類のエンティティに対してさまざまな手法を採用します。 その結果、テナント内の複数のエンティティに対する複数のセキュリティ プロバイダーからのアラートが生成されます。 個々のアラートをまとめ、攻撃に関する分析情報を得ることは、困難で時間がかかる場合があります。
セキュリティ API のベータ版では、セキュリティ プロバイダーからの他のアラートを集計し、攻撃の分析と応答の判断を容易にする 2 種類のアラートが提供されています。
- アラートとインシデント - Microsoft Graph セキュリティ API の最新世代のアラート。 これらは、名前空間で定義された アラート リソースとその コレクションインシデント リソース によって
microsoft.graph.security表されます。 - レガシ アラート - Microsoft Graph セキュリティ API の第 1 世代のアラート。 これらは、名前空間で定義されている アラート リソースによって
microsoft.graph表されます。
アラートとインシデント
これらの アラート リソースは、まず、 Microsoft 365 Defender の一部または統合されたセキュリティ プロバイダー サービスからアラート データをプルします。 その後、データを使用して、完了または進行中の攻撃、影響を受ける資産、関連 する証拠に関する豊富で貴重な手掛かりを返します。 さらに、同じ攻撃手法または同じ攻撃者を持つ他のアラートを インシデント に自動的に関連付け、攻撃のより広範なコンテキストを提供します。 応答アクションと修復アクションを推奨し、すべての異なるプロバイダー間で一貫したアクション性を提供します。 豊富なコンテンツにより、アナリストは脅威をまとめて調査して対応しやすくなります。
次のセキュリティ プロバイダーからのアラートは、これらの豊富なアラートとインシデントを介して利用できます。
- Microsoft Entra ID 保護
- Microsoft 365 Defender
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- Microsoft Purview データ損失防止
従来のアラート
注:
従来のアラート API は非推奨となり、2026 年 4 月までに削除される予定です。 新しい アラートとインシデント API に移行することをお勧めします。
従来の アラート リソースは、サポートされている Azure および Microsoft 365 Defender セキュリティ プロバイダーの呼び出しをフェデレーションします。 これらは、さまざまなドメイン間で共通のアラート データを集計して、アプリケーションが統合されたすべての統合ソリューション全体のセキュリティ問題の管理を統合および合理化できるようにします。 アプリケーションがアラートとコンテキストを関連付け、脅威の保護と対応を向上させることができます。
アラート更新機能を使用すると、アラート エンティティを更新することで、Microsoft Graph セキュリティ API と統合されているさまざまなセキュリティ製品やサービス間で特定の アラート の状態を同期できます。
次のセキュリティ プロバイダーからのアラートは、レガシ アラート リソースを介して使用できます。 GET アラート、PATCH アラート、サブスクライブ (webhook を使用) のサポートを次の表に示します。
| セキュリティ プロバイダー | GET アラート |
PATCH アラート |
アラートへのサブスクライブ |
|---|---|---|---|
| Microsoft Entra ID 保護 | ✓ |
ファイルの問題 * |
✓ |
| Azure Security Center | ✓ |
✓ |
✓ |
Microsoft 365
|
✓ |
||
| Microsoft Defender for Cloud Apps (旧 Microsoft Cloud App Security) | ✓ |
ファイルの問題 * |
✓ |
| Microsoft Defender for Endpoint (旧 Microsoft Defender ATP) ** | ✓ |
✓ |
|
| Microsoft Defender for Identity (旧 Azure Advanced Threat Protection) *** | ✓ |
ファイルの問題 * |
✓ |
| Microsoft Sentinel (旧称 Azure Sentinel) | ✓ |
Microsoft Sentinel ではサポートされていません |
✓ |
メモ: 新しいプロバイダーは、Microsoft Graph セキュリティ エコシステムに継続的にオンボードしています。 新しいプロバイダーを要求したり、既存のプロバイダーからの延長サポートを要求したりするには、 Microsoft Graph セキュリティ GitHub リポジトリに問題を提出します。
* ファイルの問題: アラートの状態は Microsoft Graph セキュリティ API 統合アプリケーション全体で更新されますが、プロバイダーの管理エクスペリエンスには反映されません。
** Microsoft Defender for Endpointには、Microsoft Graph セキュリティ API で必要なユーザー ロールを追加する必要があります。 Microsoft Defender for Endpoint データにアクセスできるのは、Microsoft Defender for Endpointと Microsoft Graph の両方のセキュリティ API ロールのユーザーのみです。 アプリケーション専用認証はこの制限を受けないため、アプリケーション専用認証トークンを使用することをお勧めします。
Microsoft Defender for Identityアラートは、Microsoft Defender for Cloud Apps統合を介して使用できます。 つまり、Microsoft Defender for Identityアラートは、Unified SecOps に参加し、Microsoft Defender for IdentityをMicrosoft Defender for Cloud Appsに接続している場合にのみ発生します。 詳細については、「Microsoft Defender for Identity と Microsoft Defender for Cloud Apps を統合する方法」 を参照してください。
攻撃シミュレーションとトレーニング
攻撃シミュレーションとトレーニングは、Microsoft Defender for Office 365 の一部です。 このサービスにより、テナントのユーザーは現実的な良性のフィッシング攻撃を体験し、そこから学ぶことができます。 エンド ユーザー向けのソーシャル エンジニアリング シミュレーションとトレーニングの経験は、これらの攻撃手法によってユーザーが侵害されるリスクを軽減するのに役立ちます。 攻撃シミュレーションとトレーニングの API を使用すると、テナント管理者は、起動されたシミュレーションの演習とトレーニングを表示し、フィッシング シミュレーションでのユーザーのオンライン行動に派生する分析情報に関するレポートを取得できます。
電子情報開示 (プレビュー)
Microsoft Purview 電子情報開示 (プレミアム) は、組織の内部および外部の調査と関連性のあるコンテンツを保管、収集、確認、分析、エクスポートするための、エンドツーエンドのワークフローを提供します。
監査ログ クエリ (プレビュー)
Microsoft Purview 監査は、組織がセキュリティ イベント、フォレンジック調査、内部調査、コンプライアンス義務に効果的に対応できるようにするための統合ソリューションを提供します。 何十もの Microsoft 365 サービスやソリューションで実行された何千ものユーザーや管理者の操作は、組織の統一された監査ログにキャプチャされ、記録されて保持されます。 これらのイベントの監査記録は、組織内のセキュリティ オペレーション、IT 管理者、インサイダー リスク チーム、コンプライアンスや法務調査担当者が検索できます。 この機能により、Microsoft 365 の組織全体で行われているアクティビティを可視化することができます。
インシデント
インシデントは、関連付けられたアラートと、攻撃のストーリーを構成する関連データのコレクションです。 インシデント管理は Microsoft 365 Defender の一部であり、Microsoft 365 Defender ポータル (https://security.microsoft.com/) で利用できます。
Microsoft 365 サービスおよびアプリは、疑わしい、または悪意のあるイベントやアクティビティを検出した場合にアラートを作成します。 個々のアラートは、完了した攻撃、または進行中の攻撃に関する貴重な手がかりとなります。 ただし、攻撃は通常、デバイス、ユーザー、メールボックスなどの異なる種類のエンティティに対抗してさまざまな技術を採用しています。 その結果、テナント内の複数のエンティティに複数のアラートが表示されます。
攻撃の分析情報を得るために個々のアラートをまとめることは困難で時間がかかる可能性があるため、Microsoft 365 Defender はアラートとその関連情報をインシデントに自動的に集計します。
関連するアラートをインシデントにグループ化することで、攻撃を包括的に表示します。 たとえば、次が表示されます。
- 攻撃の開始場所。
- 使用された戦術。
- 攻撃がテナントにどの程度まで侵入したか。
- 攻撃の範囲 (影響を受けたデバイス、ユーザー、メールボックスの数など)。
- 攻撃に関連付けられているすべてのデータ。
インシデント リソースとその API を使用すると、インシデント経由で並べ替えを行い、情報に基づくサイバーセキュリティ対応を作成することができます。 これは、環境保持ポリシーで指定した時間内に、ネットワークにフラグが設定されたインシデントのコレクションを、関連する アラートと共に公開します。
情報保護
ラベル - 情報保護ラベルは、情報に秘密度ラベルを適切に適用する方法の詳細を示します。 情報保護ラベル API は、ユーザーやテナントに適用される秘密度ラベルの構成を記述します。
脅威の評価 - Microsoft Graph の脅威評価 API は、組織がテナント内のユーザーが受け取った脅威を評価するのに役立ちます。 これによりお客様は、受信した迷惑メール、フィッシング URL、マルウェアの添付ファイルを、 Microsoft に報告できるようになります。 Microsoft は、問題のサンプルと組織ポリシーを確認してから結果を生成し、テナント管理者が脅威スキャンの判定を理解し、組織ポリシーを調整できるようにします。 また、正当なメールを報告するために使用して、ブロックされないようにすることもできます。
メモ: 代わりに、脅威送信 API を使用することをお勧めします。
レコード管理
ほとんどの組織は、業界の規制や内部ポリシーに積極的に準拠し、訴訟やセキュリティ違反が発生した場合のリスクを軽減し、従業員が最新かつ関連性の高い知識を効果的かつ機敏に共有できるように、データを管理する必要があります。 レコード管理 API を使用すると、異なる保持設定を必要とするさまざまな種類のコンテンツに保持ラベルを体系的に適用できます。 たとえば、コンテンツの作成、最終変更、ラベル付け、または特定のイベントの種類に対してイベントが発生したときから、保持期間の開始を構成できます。 さらに、 ファイル プラン記述子を 使用して、これらの保持ラベルの管理性を向上させることができます。
セキュア スコア
Microsoft セキュア スコアは、セキュリティ ポートフォリオを可視化し、その方法を向上させるためのセキュリティ分析ソリューションです。 単一のスコアを使用することによって、Microsoft ソリューションにおいてリスクを軽減するために実行した事柄についてより良く把握できます。 また、自分のスコアを他の組織のスコアと比較したり、スコアが時間とともにどのように変化する傾向があるかも理解できます。 secureScore エンティティと secureScoreControlProfile エンティティは、セキュリティ機能を適切に組み合わせながら、organizationのセキュリティと生産性のニーズのバランスを取るのに役立ちます。 また、セキュリティ機能を採用した後にスコアがどうなっているかを予測することもできます。
脅威インテリジェンス (プレビュー)
Microsoft Defender 脅威インテリジェンスは、最新のサイバー脅威からorganizationを保護するのに役立つ、世界クラスの脅威インテリジェンスを提供します。 脅威インテリジェンスを使用すると、敵対者とその操作を特定し、検出と修復を高速化し、セキュリティへの投資とワークフローを強化できます。
脅威インテリジェンス API (プレビュー) を使用すると、ユーザー インターフェイス内で検出されたインテリジェンスを運用化できます。 これには、記事と Intel プロファイルの形式の完成したインテリジェンス、IoC や評判の判定を含むマシン インテリジェンス、最後に、パッシブ DNS、Cookie、コンポーネント、トラッカーなどのエンリッチメント データが含まれます。
脅威インテリジェンス インジケーター
注:
tiIndicator エンティティは非推奨となり、2026 年 4 月までに削除されます。
脅威インジケーターは、侵害のインジケーター (IoC) とも呼ばれ、悪意のあるファイル、URL、ドメイン、IP アドレスなど、既知の脅威に関するデータを表します。 お客様は、内部のさまざまな脅威インテリジェンスからインジケーターを作成したり、脅威インテリジェンス コミュニティ、ライセンスを取得したフィード、およびその他のソースからインジケーターを取得したりすることができます。 これらのインジケーターは、関連する脅威から保護するためにさまざまなセキュリティ ツールで使用されます。
tiIndicator エンティティを使用すると、脅威インジケーターを Microsoft セキュリティ ソリューションにフィードして、悪意のあるアクティビティに対してブロックまたはアラートアクションを実行したり、organizationとは無関係であると判断されたアクティビティを許可したり、インジケーターのアクションを抑制したりできます。 インジケーターを送信するには、インジケーターを利用するための Microsoft セキュリティ ソリューションと、そのインジケーターに対して実行するアクションを指定します。
tiIndicator エンティティをアプリケーションに統合するか、次の統合された脅威インテリジェンス プラットフォーム (TIP) のいずれかを使用できます。
- Palo Alto Networks MineMeld Threat Intelligence Sharing
- TI サンプル により利用できる MISP Open Source Threat Intelligence Platform
Microsoft Graph セキュリティ API を介して送信された脅威インジケーターは、現在、次の製品で利用できます。
- Microsoft Defender for Endpoint – 悪意のあるアクティビティに関連する脅威インジケーターをアラートまたはブロックできます。 また、自動化された調査からインジケーターを無視するためのインジケーターも使用できます。 サポートされているインジケーターの種類の詳細と、テナントごとのインジケーターのカウントに対する制限については、「インジケーターを管理する」を参照してください。
- Microsoft Sentinel – tiIndicator API を使用して脅威インテリジェンス インジケーターを Microsoft Sentinel に送信できるのは、既存のお客様だけです。 脅威インテリジェント インジケーターを Microsoft Sentinel に送信する方法の最新の詳細な手順については、「脅威 インテリジェンス プラットフォームを Microsoft Sentinel に接続する」を参照してください。
脅威の送信
Microsoft Graph 脅威 送信 API は、組織がテナント内の任意のユーザーが受信した脅威を送信するのに役立ちます。 これによりお客様は、受信した迷惑メール、フィッシング URL、マルウェアの添付ファイルを、 Microsoft に報告できるようになります。 Microsoft は、提出された内容を有効な組織のポリシーと照合し、分析のために人間の採点者に送信します。 その結果は、テナント管理者が脅威スキャンの判断を理解し、組織のポリシーを調整するのに役立ちます。 管理者は、結果を使用して正当なメールを報告し、ブロックされないようにすることもできます。
メモ:非推奨のInformation Protection脅威評価 API ではなく、脅威申請 API を使用することをお勧めします。 脅威送信 API は、統合されたセキュリティ脅威送信機能を提供し、統合された結果のサポート、ユーザー送信クエリのサポート、テナント許可ブロックリストのサポート、管理者レビューのサポート、およびアプリのみのモードのサポートを追加します。
Emailとコラボレーションの保護 (プレビュー)
Microsoft Defender for Office 365はクラウドベースのメール フィルタリング サービスであり、フィッシング、ビジネス メールの侵害、マルウェア攻撃など、電子メールやコラボレーション ツールに対する高度な脅威からorganizationを保護するのに役立ちます。 Microsoft Graph analyzedemails と 修復 API を使用して、電子メール メタデータを取得し、分析されたメッセージに対して応答アクション (論理的な削除、ハード削除、迷惑メールへの移動、受信トレイへの移動) を実行できます。
メモ:これらの API は、Defender for Office 365 プラン 2 または Microsoft 365 A5/E5/F5/G5 セキュリティ サービス プランでのみ使用できます。 サービス プランの最新の一覧については、「Microsoft Defender for Office 365サービスの説明」を参照してください。
ID
正常性の問題
Defender for Identity 正常性の問題 API を使用すると、ハイブリッド ID インフラストラクチャ全体でセンサーとエージェントの正常性状態を監視できます。 正常性の問題 API を使用して、問題の種類、状態、構成、重大度など、センサーの現在の正常性の問題に関する情報を取得できます。 また、API を使用して、センサーとエージェントの機能またはセキュリティに影響を与える可能性がある問題を特定して解決することもできます。
一般的なユース ケース
Microsoft Graph セキュリティ API を操作するための最も一般的な要求の一部を次に示します。
Microsoft Graph Webhook を 使用して、Microsoft Graph セキュリティ API エンティティの更新に関する通知をサブスクライブして受信できます。
次の手順
Microsoft Graph セキュリティ API を使用すると、Microsoft やパートナーのさまざまなセキュリティ ソリューションと連携するための新しい方法を開くことができます。 以下の手順に従って開始しましょう。
- アラート、tiIndicator (プレビュー)、securityAction (プレビュー)、secureScore、secureScoreControlProfilesについて詳しく調査します。
- Graph エクスプローラーで API をお試しください。 [サンプル クエリ] で、[サンプルをさらに表示] を選択してセキュリティ カテゴリを [オン]に設定します。
- エンティティ変更時の通知のサブスクライブと受信を試します。
関連コンテンツ
次の Microsoft Graph セキュリティ API サンプルをコーディングして投稿します。
Microsoft Graph セキュリティ API に接続するためのその他のオプションを確認します。
以下のコミュニティに参加できます。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示