Использование API безопасности Microsoft Graph
API безопасности Microsoft Graph предоставляет единый интерфейс и схему для интеграции с решениями по обеспечению безопасности от корпорации Майкрософт и партнеров по экосистеме. Это позволяет клиентам упростить операции, связанные с безопасностью, и лучше защититься от возрастающих киберугроз. API безопасности Microsoft Graph объединяет запросы ко всем подключенным поставщикам безопасности и объединяет ответы. Используйте API безопасности Microsoft Graph для создания приложений, которые:
- Консолидация и корреляция оповещений системы безопасности из нескольких источников.
- Извлечение и изучение всех инцидентов и оповещений из служб, которые являются частью Microsoft 365 Defender или интегрированы с ним.
- Разблокируют контекстные данные для информирования расследований.
- Автоматизация задач безопасности, бизнес-процессов, рабочих процессов и отчетов.
- Отправка индикаторов угроз в продукты Майкрософт для настраиваемых обнаружений.
- Вызов действий в в ответ на новые угрозы.
- Обеспечение видимости данных безопасности для упреждающего управления рисками.
API безопасности Microsoft Graph предоставляет ключевые функции, описанные в следующих разделах.
Расширенная охота
Расширенная охота — это средство охоты на угрозы на основе запросов, которое позволяет просматривать необработанные данные на срок до 30 дней. Вы можете проводить инспекцию событий в своей сети для поиска индикаторов и объектов угроз на профилактической основе. Гибкий доступ к данным обеспечивает неограниченную охоту на известные и потенциальные угрозы.
Используйте runHuntingQuery для выполнения запроса язык запросов Kusto (KQL) на данные, хранящиеся в Microsoft 365 Defender. Используйте возвращаемый результирующий набор для обогащения существующего исследования или обнаружения незамеченных угроз в сети.
Квоты и выделение ресурсов
Следующие условия относятся ко всем запросам.
- Запросы изучают и возвращают данные за последние 30 дней.
- Результаты могут возвращать до 100 000 строк.
- На каждого клиента можно выполнить не менее 45 вызовов в минуту. Количество вызовов зависит от размера каждого клиента.
- Каждому клиенту выделяются ресурсы ЦП в зависимости от размера клиента. Запросы блокируются, если клиент достигает 100 % выделенных ресурсов до следующего 15-минутного цикла. Чтобы избежать блокировки запросов из-за чрезмерного потребления, следуйте инструкциям в разделе Оптимизация запросов, чтобы избежать превышения квот ЦП.
- Если один запрос выполняется более трех минут, время ожидания истекает и возвращает ошибку.
- Код
429
HTTP-ответа указывает, что вы достигли выделенных ресурсов ЦП по количеству отправленных запросов или выделенному времени выполнения. Прочтите текст ответа, чтобы понять достигнутое ограничение.
Оповещения
Оповещения — это подробные предупреждения о подозрительных действиях в клиенте клиента, которые корпорация Майкрософт или поставщики безопасности партнеров определили и помечают для действий. Атаки обычно используют различные методы против различных типов сущностей, таких как устройства, пользователи и почтовые ящики. Результатом являются оповещения от нескольких поставщиков безопасности для нескольких сущностей в клиенте. Объединение отдельных оповещений для получения сведений об атаке может быть сложной задачей и занимает много времени.
API безопасности предлагает два типа оповещений, которые объединяют другие оповещения от поставщиков безопасности и упрощают анализ атак и определение ответных мер.
-
Оповещения и инциденты — это последнее поколение оповещений в API безопасности Microsoft Graph. Они представлены ресурсом оповещений и его коллекцией, ресурсом инцидента , определенным в
microsoft.graph.security
пространстве имен. -
Устаревшие оповещения — это первое поколение оповещений в API безопасности Microsoft Graph. Они представлены ресурсом оповещений , определенным в
microsoft.graph
пространстве имен.
Оповещения и инциденты
Эти ресурсы оповещений сначала извлекают данные оповещений из служб поставщиков безопасности, которые являются частью Microsoft 365 Defender или интегрированы с ними. Затем они потребляют данные, чтобы вернуть ценные подсказки о завершенной или продолжающейся атаке, затронутых активах и связанных с ними доказательствах. Кроме того, они автоматически сопоставляют другие оповещения с теми же методами атаки или тем же злоумышленником с инцидентом , чтобы обеспечить более широкий контекст атаки. Они рекомендуют действия по реагированию и исправлению, обеспечивая согласованность действий для всех разных поставщиков. Многофункциональное содержимое упрощает аналитикам коллективное расследование угроз и реагирование на них.
Оповещения от следующих поставщиков безопасности доступны с помощью этих расширенных оповещений и инцидентов:
- Защита Microsoft Entra ID
- Microsoft 365 Defender
- Microsoft Defender for Cloud Apps
- Microsoft Defender для конечной точки
- Microsoft Defender для удостоверений
- Microsoft Defender для Office 365
- Защита от потери данных в Microsoft Purview
Устаревшие оповещения
Примечание.
Устаревший API оповещений устарел и будет удален к апрелю 2026 г. Рекомендуется перейти на новый API оповещений и инцидентов .
Устаревшие ресурсы оповещений объединяют вызовы поддерживаемых поставщиков безопасности Azure и Microsoft 365 Defender. Они объединяют общие данные оповещений в разных доменах, что позволяет приложениям унифицировать и оптимизировать управление проблемами безопасности во всех интегрированных решениях. Они позволяют приложениям сопоставлять оповещения и контекст для улучшения защиты от угроз и реагирования на них.
Устаревшая версия API безопасности предлагает ресурс оповещений , который объединяет вызовы поддерживаемых поставщиков безопасности Azure и Microsoft 365 Defender. Этот ресурс оповещений объединяет данные оповещений, которые являются общими для различных доменов, что позволяет приложениям унифицировать и оптимизировать управление проблемами безопасности во всех интегрированных решениях. Это позволяет приложениям сопоставлять оповещения и контекст для улучшения защиты от угроз и реагирования на нее.
С помощью возможности обновления оповещений можно синхронизировать состояние определенных оповещений в различных продуктах и службах безопасности, интегрированных с API безопасности Microsoft Graph, обновив сущность оповещения .
Оповещения от следующих поставщиков доступны через ресурс оповещений . Поддержка оповещений GET, исправлений и подписок (через веб-перехватчики) указана в следующей таблице.
Поставщик безопасности | Оповещение GET |
Оповещение PATCH |
Подписка на оповещения |
---|---|---|---|
Защита Microsoft Entra ID | ✓ |
✓ |
|
Microsoft 365
|
✓ |
||
Microsoft Defender for Cloud Apps | ✓ |
✓ |
|
Microsoft Defender для конечной точки ** | ✓ |
✓ |
|
Microsoft Defender для удостоверений *** | ✓ |
✓ |
|
Microsoft Sentinel (ранее — Azure Sentinel) | ✓ |
Не поддерживается в Microsoft Sentinel |
✓ |
Заметка: Новые поставщики постоянно подключены к экосистеме безопасности Microsoft Graph. Чтобы запросить новых поставщиков или получить расширенную поддержку от существующих поставщиков, отправьте файл о проблеме в репозитории GitHub безопасности Microsoft Graph.
* Проблема с файлом. Состояние оповещения обновляется во всех интегрированных приложениях API безопасности Microsoft Graph, но не отражается в интерфейсе управления поставщиком.
** Microsoft Defender для конечной точки требуются дополнительные роли пользователей, а не те, которые требуются API безопасности Microsoft Graph. Доступ к данным Microsoft Defender для конечной точки могут получить только пользователи с ролями API безопасности Microsoft Defender для конечной точки и Microsoft Graph. Так как проверка подлинности только для приложений не ограничивается этим, рекомендуется использовать маркер проверки подлинности только для приложений.
Microsoft Defender для удостоверений оповещения доступны через интеграцию Microsoft Defender for Cloud Apps. Это означает, что оповещения Microsoft Defender для удостоверений отображаются только в том случае, если вы присоединились к Unified SecOps и подключили Microsoft Defender для удостоверений к Microsoft Defender for Cloud Apps. Узнайте больше о том, как интегрировать Microsoft Defender для удостоверений и Microsoft Defender for Cloud Apps.
Имитация атак и обучение
Симуляция атак и обучение входит в состав Microsoft Defender для Office 365. Эта служба позволяет пользователям в клиенте испытать на себе реалистичную учебную фишинговую атаку и извлечь уроки. Симуляция социотехники и обучение пользователей помогают снизить риск взлома с применением таких методов атаки. API симуляции атак и обучения позволяет администраторам клиентов просматривать запущенные упражнения и тренинги по симуляции и получать отчеты об аналитике поведения пользователей в Интернете в условиях симуляции фишинга.
Обнаружение электронных данных (eDiscovery)
Обнаружение электронных данных в Microsoft Purview (премиум) обеспечивает комплексный рабочий процесс для сохранения, сбора, анализа, проверки и экспорта содержимого, используемого во внутренних и внешних исследованиях вашей организации.
Удостоверения
Проблемы с работоспособностью
API Microsoft Defender для удостоверений проблем с работоспособностью позволяет отслеживать состояние работоспособности датчиков и агентов в инфраструктуре гибридных удостоверений. API проблем с работоспособностью можно использовать для получения сведений о текущих проблемах работоспособности датчиков, таких как тип проблемы, состояние, конфигурация и серьезность. Этот API также можно использовать для выявления и устранения проблем, которые могут повлиять на функциональность или безопасность датчиков и агентов.
Заметка: API Microsoft Defender для удостоверений проблем с работоспособностью доступен только в планах Службы безопасности Defender для удостоверений или Microsoft 365 E5,A5/G5/F5.
Датчики
API управления датчиками Defender для удостоверений позволяет создавать подробные отчеты о датчиках в рабочей области, включая сведения об имени сервера, версии датчика, типе, состоянии и состоянии работоспособности. Он также позволяет управлять параметрами датчика, такими как добавление описаний, включение или отключение отложенных обновлений, а также указание контроллера домена, к которому подключается датчик для запроса идентификатора Entra.
Инциденты
Инцидент — это коллекция коррелированных оповещений и связанных данных, составляющих историю атаки. Управление инцидентами является частью Microsoft 365 Defender и доступно на портале Microsoft 365 Defender (https://security.microsoft.com/).
Службы и приложения Microsoft 365 создают оповещения при обнаружении подозрительного или вредоносного события или действия. Отдельные оповещения предоставляют ценные подсказки о завершенной или продолжающейся атаке. Однако в атаках обычно используются различные методы против различных типов сущностей, например устройств, пользователей и почтовых ящиков. Это приводит к созданию нескольких оповещений для нескольких сущностей в клиенте.
Так как объединение отдельных оповещений для получения сведений об атаке может быть сложной задачей и занимает много времени, Microsoft 365 Defender автоматически объединяет оповещения и связанную с ними информацию в инцидент.
Группировка связанных оповещений в инцидент дает полное представление об атаке. Например, вы можете увидеть:
- Где началась атака.
- Какие методы использовались.
- Как далеко атака зашла на ваш клиент.
- Область атаки, например количество затронутых устройств, пользователей и почтовых ящиков.
- Все данные, связанные с атакой.
Ресурс инцидента и его API позволяют сортировать инциденты, чтобы создать информированный ответ кибербезопасности. Он предоставляет коллекцию инцидентов с соответствующими оповещениями, которые были помечены в вашей сети, в пределах диапазона времени, указанного в политике хранения среды.
Защита информации
API оценки угроз Microsoft Graph позволяет организациям оценивать угрозу, возникшую для любого пользователя в клиенте. Благодаря этому пользователи могут сообщать в корпорацию Майкрософт о полученной нежелательной почте, фишинговых URL-адресах и вредоносных вложениях. Результат проверки политики и результат повторного сканирования может помочь администраторам клиента понять заключение сканирования угроз и настроить политику организации.
Управление записями
Большинству организаций необходимо управлять данными для упреждающего соблюдения отраслевых правил и внутренних политик, снижения риска в случае судебного разбирательства или нарушения безопасности, а также для эффективного и гибкого обмена знаниями, актуальными и актуальными для них. API управления записями можно использовать для систематического применения меток хранения к разным типам содержимого, для которых требуются разные параметры хранения. Например, можно настроить начало срока хранения с момента создания, последнего изменения, добавления меток или с момента возникновения события для определенного типа события. Кроме того, можно использовать дескрипторы плана файлов , чтобы повысить управляемость этих меток хранения.
Оценка безопасности
Оценка безопасности (Майкрософт) — это решение аналитики безопасности, обеспечивающее обзор вашего набора решений безопасности и способов его улучшения. С помощью одной оценки вы можете лучше понять, что вы сделали для снижения рисков в решениях Майкрософт. Также можно сравнить свою оценку с другими организациями и просмотреть ее изменение со временем. Сущности security secureScore и secureScoreControlProfile в Microsoft Graph помогают сбалансировать потребности организации в безопасности и производительности, обеспечивая при этом соответствующее сочетание функций безопасности. Вы также можете спрогнозировать значение оцени после внедрения функций безопасности.
Аналитика угроз
Аналитика угроз Microsoft Defender предоставляет аналитику угроз мирового уровня, чтобы защитить организацию от современных киберугроз. Аналитику угроз можно использовать для выявления злоумышленников и их операций, ускорения обнаружения и исправления, а также для повышения инвестиций в безопасность и рабочих процессов.
API-интерфейсы аналитики угроз позволяют ввести в эксплуатацию аналитику, найденную в пользовательском интерфейсе. Сюда входит готовая аналитика в виде статей и профилей Intel, машинный интеллект, такой как ioCs и вердикты репутации, а также данные обогащения, такие как пассивные DNS, файлы cookie, компоненты и средства отслеживания.
Основные варианты использования
Ниже приведены некоторые из наиболее популярных запросов для работы с API безопасности Microsoft Graph.
Веб-перехватчики Microsoft Graph можно использовать для подписки на и получения уведомлений об обновлениях сущностей безопасности Microsoft Graph.
Ресурсы
Код и участие в этих примерах API безопасности Microsoft Graph:
Взаимодействие с сообществом:
Дальнейшие действия
API безопасности Microsoft Graph открывает новые способы взаимодействия с различными решениями по обеспечению безопасности от корпорации Майкрософт и партнеров. Чтобы приступить к работе, следуйте указанным ниже инструкциям.
- Подробно изучите оповещения, объекты secureScore и secureScoreControlProfile.
- Опробуйте API в песочнице Graph. В разделе Примеры запросов выберите элемент Показать другие примеры и установите категорию безопасности в положение Вкл.
- Попробуйте подписаться на получение уведомлений об изменениях объекта.
Связанные материалы
Код и участие в этом примере API безопасности Microsoft Graph:
Ознакомьтесь с другими вариантами подключения с помощью API безопасности Microsoft Graph:
- Соединители безопасности Microsoft Graph для Logic Apps, Flow и Power Apps
- Примеры записных книжек Jupyter
Взаимодействие с сообществом: