Использование API-интерфейсов защиты удостоверений Microsoft Graph
Пространство имен: microsoft.graph
Microsoft Entra защита идентификации — это средство, позволяющее организациям обнаруживать, исследовать и устранять риски на основе удостоверений в Microsoft Entra организации.
Используйте следующие API-интерфейсы Microsoft Graph для запроса рисков пользователей и субъектов-служб, обнаруженных Защита Microsoft Entra ID:
Для пользователей
riskDetection — запрос Microsoft Graph для получения списка связанных рисков для пользователей и входа, а также связанных сведений об обнаружении. Обнаружение рисков в Защита Microsoft Entra ID включает все обнаруженные подозрительные действия, связанные с учетными записями пользователей в каталоге.
riskyUsers — запрос Microsoft Graph для получения сведений о пользователях, которые Защита Microsoft Entra ID признаны рискованными. Риск пользователя представляет вероятность компрометации определенного удостоверения или учетной записи. Эти риски вычисляются в автономном режиме с использованием внутренних и внешних источников аналитики угроз Корпорации Майкрософт, включая исследователей безопасности, сотрудников правоохранительных органов, групп безопасности корпорации Майкрософт и других надежных источников.
signIn — запрос microsoft Graph для получения сведений о Microsoft Entra входа с определенными свойствами, связанными с состоянием риска, подробными сведениями и уровнем. Риск входа представляет вероятность того, что заданный запрос на проверку подлинности не авторизован владельцем удостоверения. Эти риски можно вычислять в режиме реального времени или в автономном режиме с помощью внутренних и внешних источников аналитики угроз Корпорации Майкрософт, включая исследователей безопасности, сотрудников правоохранительных органов, групп безопасности корпорации Майкрософт и других надежных источников.
Для субъектов-служб
servicePrincipalRiskDetection — запрос Microsoft Graph для получения списка обнаружений рисков субъекта-службы и связанных сведений об этих обнаружениях. Обнаружение рисков в Защита Microsoft Entra ID включает все обнаруженные подозрительные действия, связанные с учетными записями субъектов-служб в каталоге.
riskyServicePrincipals — запрос microsoft Graph для получения сведений о субъектах-службах, которые Защита Microsoft Entra ID определены как рискованные. Риск субъекта-службы представляет вероятность компрометации определенного удостоверения или учетной записи. Эти риски вычисляются асинхронно с помощью данных и шаблонов из внутренних и внешних источников аналитики угроз Майкрософт, включая исследователей безопасности, сотрудников правоохранительных органов, групп безопасности корпорации Майкрософт и других доверенных источников.
Что можно сделать с API-интерфейсами защиты идентификации в Microsoft Graph?
Ниже перечислены популярные запросы:
Operation | URL-адрес |
---|---|
GET рискованных пользователей | GET https://graph.microsoft.com/v1.0/identityProtection/riskyUsers |
Обнаружение рисков GET | GET https://graph.microsoft.com/v1.0/identityProtection/riskDetections |
GET журнала рисков пользователя | GET https://graph.microsoft.com/v1.0/identityProtection/riskyUsers/{riskyUserId}/history |
ПОДТВЕРЖДЕНИЕ компрометации пользователя | ПОМЕСТИТЬ https://graph.microsoft.com/v1.0/identityProtection/riskyUsers/confirmCompromised |
ЗАКРЫТЬ рискованных пользователей | ПОМЕСТИТЬ https://graph.microsoft.com/v1.0/identityProtection/riskyUsers/dismiss |
Конкретные рекомендации и дополнительные сведения см. в статье Определение и устранение рисков с помощью API Microsoft Graph.
Какие лицензии нужны?
Защита Microsoft Entra ID как для пользователей, так и для субъектов-служб — это функция уровня "Премиум". Для доступа к полным отчетам требуются определенные лицензии. Дополнительные сведения см. в разделе Требования к лицензии для защиты идентификации.
Сколько данных доступно?
Доступность данных о рисках регулируется политиками хранения данных Microsoft Entra.