Microsoft Defender 脅威インテリジェンスに Microsoft Graph API を使用する
注:
microsoft Graph API for Microsoft Defender 脅威インテリジェンスには、テナントのアクティブな Defender Threat Intelligence Portal ライセンスと API アドオン ライセンスが必要です。
脅威インフラストラクチャの分析と脅威インテリジェンスの収集を行う組織は、Microsoft Defender 脅威インテリジェンス (Defender TI) を使用して、トリアージ、インシデント対応、脅威ハンティング、脆弱性管理、サイバー脅威インテリジェンス アナリスト のワークフローを合理化できます。 さらに、Microsoft Graph でMicrosoft Defender 脅威インテリジェンスによって公開されている API を使用して、最新のサイバー脅威からorganizationを保護するのに役立つ世界クラスの脅威インテリジェンスを提供できます。 敵対者とその運用を特定し、検出と修復を加速し、セキュリティ投資とワークフローを強化できます。
これらの脅威インテリジェンス API を使用すると、UI 内で検出されたインテリジェンスを運用化できます。 これには、記事と Intel プロファイルの形式の完成したインテリジェンス、侵害 (IoC) と評判の判定のインジケーターを含むマシン インテリジェンス、最後に、パッシブ DNS、Cookie、コンポーネント、トラッカーなどのエンリッチメント データが含まれます。
Authorization
Microsoft Graph で脅威インテリジェンス API を呼び出すには、アプリがアクセス トークンを取得する必要があります。 アクセス トークンの詳細については、「Microsoft Graph を呼び出すためのトークンの取得」を参照してください。 アプリには、適切なアクセス許可も必要です。 詳細については、「 脅威インテリジェンスのアクセス許可」を参照してください。
一般的なユース ケース
脅威インテリジェンス API は、いくつかのメインカテゴリに分類されます。
- アーティクルや intelligenceProfile など、脅威または脅威アクターに関する詳細が書き込まれます。
- hostCookie、passiveDns、whois などのホストに関するプロパティ。
次の表に、脅威インテリジェンス API の一般的なユース ケースを示します。
| ユース ケース | REST リソース | 関連項目 |
|---|---|---|
| 脅威インテリジェンスに関する記事を参照してください。 | 記事 | 記事のメソッド |
| インターネット上で現在または以前に使用可能であったホストに関する情報を読み取り、検出Microsoft Defender 脅威インテリジェンス。 関連する Cookie、パッシブ DNS エントリ、評判など、ホストの詳細を取得できます。 | host, hostCookie, passiveDnsRecord, hostReputation |
ホストのメソッド |
| ホストで観察される Web コンポーネントに関する情報を読み取 ります。 | hostComponent | hostComponent のメソッド |
| ホストで観察される Cookie に関する情報を読み取 ります。 | hostCookie | hostCookie のメソッド |
| ホストについて観察された参照ホスト ペアを検出します。 ホスト ペアには、HTTP リダイレクトに関する情報、ホストからの CSS またはイメージの使用などの詳細が含まれます。 | hostPair | hostPair のメソッド |
| ホスト上のコンポーネント、ポートが観察された回数、各ホスト ポート バナー応答に含まれるものなど、ホストでMicrosoft Defender 脅威インテリジェンスが観察したポートに関する情報を確認します。 | hostPort, hostPortComponent, hostPortBanner |
hostPort のメソッド |
| ホストでオブザーバーされた SSL 証明書データを読み取る。 このデータには、SSL 証明書に関する情報と、ホストと SSL 証明書の関係が含まれます。 | hostSslCertificate, sslCertificate |
hostSslCertificate のメソッド |
| ホストで観察されたインターネット トラッカーを読み取ります。 | hostTracker | hosttracker のメソッド |
| 脅威アクターと侵害の一般的なツールに関するインテリジェンス プロファイルを読み取ります。 | intelligenceProfile, intelligenceProfileIndicator |
intelligenceProfile のメソッド |
| ホストに関するパッシブ DNS (PDNS) レコードを読み取 る。 | passiveDnsRecord | passiveDnsRecord のメソッド |
| SSL 証明書データを読み取る。 この情報は、SSL 証明書と ホストとの関係の詳細からのスタンドアロンです。 | sslCertificate | sslCertificate のメソッド |
| ホストのサブドメインの詳細を読み取 る。 | サブドメイン | サブドメインのメソッド |
| 脆弱性の詳細を確認します。 | 脆弱 性 | 脆弱性の方法 |
| ホストの WHOIS の詳細を参照してください。 | whoisRecord | whoisRecord のメソッド |
次の手順
Microsoft Graph の脅威インテリジェンス API は、最新のサイバー脅威からorganizationを保護するのに役立ちます。 詳細情報
- 特定のシナリオに役立つ、メソッドとリソースのプロパティを詳しく調べます。
- Graph エクスプローラーで API をお試しください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示