Explorar o Gráfico de Segurança da Microsoft
O Microsoft Graph fornece um modelo de programação unificado que pode ser usado para acessar dados do Microsoft 365, do Windows e do Enterprise Mobility + Security. Você pode usar os dados do Microsoft Graph a fim de criar aplicativos personalizados para sua organização.
A API do Microsoft Graph oferece um só ponto de extremidade, https://graph.microsoft.com (nas versões v1.0 ou beta). Você pode usar APIs REST ou SDKs para acessar o ponto de extremidade e criar aplicativos que dão suporte aos cenários do Microsoft 365. O Microsoft Graph também inclui um poderoso conjunto de serviços que gerencia a identidade, o acesso, a conformidade e a segurança do usuário e do dispositivo, e ajuda a proteger as organizações contra vazamento ou perda de dados.
O que há no Microsoft Graph?
O Microsoft Graph expõe as bibliotecas de cliente e APIs REST para acessar dados nos seguintes serviços em nuvem da Microsoft:
- Principais serviços do Microsoft 365: Bookings, Calendário, Delve, Excel, Descoberta Eletrônica do Microsoft Purview, Pesquisa da Microsoft, OneDrive, OneNote, Outlook/Exchange, Pessoas (contatos do Outlook), Planner, SharePoint, Teams, To Do e Viva Insights
- Serviços do Enterprise Mobility + Security: Análise Avançada contra Ameaças, Proteção Avançada contra Ameaças, Microsoft Entra ID, Identity Manager e Intune
- Serviços do Windows: atividades, dispositivos, notificações e Impressão Universal
- Serviços do Dynamics 365 Business Central
API de Segurança do Microsoft Graph
A API de segurança do Microsoft Graph é um serviço (ou agente) intermediário que fornece uma só interface programática para conectar vários provedores de segurança do Microsoft Graph (também chamados apenas de provedores ou provedores de segurança). As solicitações à API de segurança do Microsoft Graph são federadas para todos os provedores de segurança aplicáveis. Os resultados são agregados e retornados ao aplicativo solicitante em um esquema comum, conforme mostrado no diagrama a seguir.
Os desenvolvedores podem usar o Gráfico de Segurança a fim de criar serviços de segurança inteligentes para:
- Integrar e correlacionar alertas de segurança de várias fontes.
- Transmitir alertas para as soluções de SIEM (gerenciamento de eventos e informações de segurança).
- Enviar automaticamente indicadores de ameaça para as soluções de segurança da Microsoft a fim de possibilitar ações de alerta, bloqueio ou permissão.
- Desbloquear dados contextuais para fundamentar as investigações.
- Descobrir oportunidades de aprender com os dados e treinar suas soluções de segurança.
- Automatizar o SecOps para maior eficiência.
Usar a API de Segurança do Microsoft Graph
Há duas versões da API de Segurança do Microsoft Graph.
- API REST do Microsoft Graph v1.0
- API REST do Microsoft Graph Beta
A versão beta fornece APIs novas ou aprimoradas que ainda estão em status de versão prévia. As APIs em status de versão prévia estão sujeitas a alterações e podem interromper cenários existentes sem aviso prévio.
Para os Analistas de Operações de Segurança, ambas as versões da API do Microsoft Graph dão suporte à busca avançada usando o método runHuntingQuery. Esse método inclui uma consulta em KQL (Linguagem de Consulta Kusto).
Exemplo de busca avançada no Microsoft Defender XDR:
POST https://graph.microsoft.com/v1.0/security/runHuntingQuery { "Query": "DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2" }
Você pode usar o Explorador do Graph para executar a consulta de busca:
Leitura adicional – Para obter mais informações, confira A API de Segurança do Microsoft Graph.