Поделиться через


Использование API Microsoft Graph для Аналитика угроз Microsoft Defender (предварительная версия)

Важно!

API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.

Примечание.

Для microsoft API Graph для Аналитика угроз Microsoft Defender требуется активная лицензия на портал аналитики угроз в Defender и лицензия на надстройку API для клиента.

Организации, выполняющие анализ инфраструктуры угроз и сбор аналитики угроз, могут использовать Аналитика угроз Microsoft Defender (Defender TI) для оптимизации рабочих процессов анализа, реагирования на инциденты, охоты на угрозы, управления уязвимостями и аналитики киберугрыз. Кроме того, вы можете использовать API- интерфейсы, предоставляемые Аналитика угроз Microsoft Defender в Microsoft Graph, для предоставления аналитики угроз мирового уровня, которая помогает защитить вашу организацию от современных киберугроз. Вы можете выявлять злоумышленников и их операции, ускорять обнаружение и исправление, а также повышать инвестиции в безопасность и рабочие процессы.

Эти API-интерфейсы аналитики угроз позволяют ввести в эксплуатацию аналитику, найденную в пользовательском интерфейсе. Сюда входит готовая аналитика в виде статей и профилей Intel, машинный интеллект, включая индикаторы компрометации (IoCs) и вердикты репутации, и, наконец, обогащение данных, включая пассивные DNS, файлы cookie, компоненты и средства отслеживания.

Авторизация

Чтобы вызвать API аналитики угроз в Microsoft Graph, приложению необходимо получить маркер доступа. Подробные сведения о маркерах доступа см. в статье Получение маркеров доступа для вызова Microsoft Graph. Приложению также требуются соответствующие разрешения. Дополнительные сведения см. в разделе Разрешения аналитики угроз.

Основные варианты использования

API аналитики угроз делятся на несколько main категорий:

В следующей таблице перечислены некоторые распространенные варианты использования API аналитики угроз.

Варианты использования Ресурсы REST См. также
Ознакомьтесь со статьями об аналитике угроз. Статьи Методы статьи
Чтение сведений об узле, который в настоящее время или ранее был доступен в Интернете и который Аналитика угроз Microsoft Defender обнаружен. Вы можете получить дополнительные сведения об узле, включая связанные файлы cookie, пассивные записи DNS, репутацию и многое другое. host,
hostCookie,
passiveDnsRecord,
hostReputation
Методы узла
Чтение сведений о веб-компонентах, наблюдаемых на узле. hostComponent Методы hostComponent
Чтение сведений о файлах cookie, наблюдаемых на узле. hostCookie Методы hostCookie
Обнаружение пар ссылок узлов, наблюдаемых относительно узла. Пары узлов включают такие сведения, как сведения о перенаправлениях HTTP, использование CSS или изображений с узла и многое другое. hostPair Методы hostPair
Узнайте о портах, которые Аналитика угроз Microsoft Defender наблюдали на узле, включая компоненты на этих портах, количество наблюдений за портом и то, что содержит каждый ответ баннера порта узла. hostPort,
hostPortComponent,
hostPortBanner
Методы hostPort
Чтение данных SSL-сертификата, наблюдателя на узле. Эти данные включают сведения о SSL-сертификате и связи между узлом и SSL-сертификатом. hostSslCertificate,
sslCertificate
Методы hostSslCertificate
Чтение интернет-трекеров, наблюдаемых на узле. hostTracker Методы hosttracker
Ознакомьтесь с профилями аналитики об субъектах угроз и распространенных инструментах компрометации. intelligenceProfile,
intelligenceProfileIndicator
Методы intelligenceProfile
Чтение пассивных записей DNS (PDNS) об узле. passiveDnsRecord Методы passiveDnsRecord
Чтение данных SSL-сертификата. Эти сведения являются изолированными от сведений о том, как SSL-сертификат связан с узлом. sslCertificate Методы sslCertificate
Чтение сведений о поддомене для узла. Поддомен Методы поддомена
Ознакомьтесь со сведениями об уязвимости. Уязвимость Методы уязвимости
Ознакомьтесь со сведениями о WHOIS для узла. whoisRecord Методы whoisRecord

Дальнейшие действия

API-интерфейсы аналитики угроз в Microsoft Graph помогают защитить организацию от современных киберугроз. Чтобы узнать больше:

  • Изучите подробнее методы и свойства ресурсов, наиболее полезных для вашего сценария.
  • Опробуйте API в песочнице Graph.