Использование API Microsoft Graph для Аналитика угроз Microsoft Defender
Примечание.
Для microsoft API Graph для Аналитика угроз Microsoft Defender требуется активная лицензия на портал аналитики угроз в Defender и лицензия на надстройку API для клиента.
Организации, выполняющие анализ инфраструктуры угроз и сбор аналитики угроз, могут использовать Аналитика угроз Microsoft Defender (Defender TI) для оптимизации рабочих процессов анализа, реагирования на инциденты, охоты на угрозы, управления уязвимостями и аналитики киберугрыз. Кроме того, вы можете использовать API- интерфейсы, предоставляемые Аналитика угроз Microsoft Defender в Microsoft Graph, для предоставления аналитики угроз мирового уровня, которая помогает защитить вашу организацию от современных киберугроз. Вы можете выявлять злоумышленников и их операции, ускорять обнаружение и исправление, а также повышать инвестиции в безопасность и рабочие процессы.
Эти API-интерфейсы аналитики угроз позволяют ввести в эксплуатацию аналитику, найденную в пользовательском интерфейсе. Сюда входит готовая аналитика в виде статей и профилей Intel, машинный интеллект, включая индикаторы компрометации (IoCs) и вердикты репутации, и, наконец, обогащение данных, включая пассивные DNS, файлы cookie, компоненты и средства отслеживания.
Авторизация
Чтобы вызвать API аналитики угроз в Microsoft Graph, приложению необходимо получить маркер доступа. Подробные сведения о маркерах доступа см. в статье Получение маркеров доступа для вызова Microsoft Graph. Приложению также требуются соответствующие разрешения. Дополнительные сведения см. в разделе Разрешения аналитики угроз.
Основные варианты использования
API аналитики угроз делятся на несколько main категорий:
- Письменные сведения об угрозе или субъекте угрозы, такие как статья и intelligenceProfile.
- Свойства узла, такие как hostCookie, passiveDns или whois.
В следующей таблице перечислены некоторые распространенные варианты использования API аналитики угроз.
| Варианты использования | Ресурсы REST | См. также |
|---|---|---|
| Ознакомьтесь со статьями об аналитике угроз. | Статьи | Методы статьи |
| Чтение сведений об узле, который в настоящее время или ранее был доступен в Интернете и который Аналитика угроз Microsoft Defender обнаружен. Вы можете получить дополнительные сведения об узле, включая связанные файлы cookie, пассивные записи DNS, репутацию и многое другое. |
host, hostCookie, passiveDnsRecord, hostReputation |
Методы узла |
| Чтение сведений о веб-компонентах, наблюдаемых на узле. | hostComponent | Методы hostComponent |
| Чтение сведений о файлах cookie, наблюдаемых на узле. | hostCookie | Методы hostCookie |
| Обнаружение пар ссылок узлов, наблюдаемых относительно узла. Пары узлов включают такие сведения, как сведения о перенаправлениях HTTP, использование CSS или изображений с узла и многое другое. | hostPair | Методы hostPair |
| Узнайте о портах, которые Аналитика угроз Microsoft Defender наблюдали на узле, включая компоненты на этих портах, количество наблюдений за портом и то, что содержит каждый ответ баннера порта узла. |
hostPort, hostPortComponent, hostPortBanner |
Методы hostPort |
| Чтение данных SSL-сертификата, наблюдателя на узле. Эти данные включают сведения о SSL-сертификате и связи между узлом и SSL-сертификатом. |
hostSslCertificate, sslCertificate |
Методы hostSslCertificate |
| Чтение интернет-трекеров, наблюдаемых на узле. | hostTracker | Методы hosttracker |
| Ознакомьтесь с профилями аналитики об субъектах угроз и распространенных инструментах компрометации. |
intelligenceProfile, intelligenceProfileIndicator |
Методы intelligenceProfile |
| Чтение пассивных записей DNS (PDNS) об узле. | passiveDnsRecord | Методы passiveDnsRecord |
| Чтение данных SSL-сертификата. Эти сведения являются изолированными от сведений о том, как SSL-сертификат связан с узлом. | sslCertificate | Методы sslCertificate |
| Чтение сведений о поддомене для узла. | Поддомен | Методы поддомена |
| Ознакомьтесь со сведениями об уязвимости. | Уязвимость | Методы уязвимости |
| Ознакомьтесь со сведениями о WHOIS для узла. | whoisRecord | Методы whoisRecord |
Дальнейшие действия
API-интерфейсы аналитики угроз в Microsoft Graph помогают защитить организацию от современных киберугроз. Чтобы узнать больше:
- Изучите подробнее методы и свойства ресурсов, наиболее полезных для вашего сценария.
- Опробуйте API в песочнице Graph.