将 Microsoft Graph API 用于Microsoft Defender 威胁智能

注意

适用于Microsoft Defender 威胁智能的 Microsoft 图形 API需要租户的活动 Defender 威胁情报门户许可证和 API 附加许可证

执行威胁基础结构分析和收集威胁情报的组织可以使用 Microsoft Defender 威胁智能 (Defender TI) 来简化会审、事件响应、威胁搜寻、漏洞管理和网络威胁情报分析师工作流。 此外,还可以使用 Microsoft Graph 上Microsoft Defender 威胁智能公开的 API 来提供世界级的威胁情报,帮助保护组织免受现代网络威胁的侵害。 可以识别攻击者及其操作,加速检测和修正,并增强安全投资和工作流。

借助这些威胁情报 API,可以操作 UI 中发现的智能。 这包括文章和 Intel 配置文件形式的完成智能、机器智能(包括入侵指标 (IoC) 和信誉判断)以及最后扩充数据,包括被动 DNS、Cookie、组件和跟踪器。

Authorization

若要在 Microsoft Graph 中调用威胁情报 API,你的应用需要获取访问令牌。 有关访问令牌的详细信息,请参阅获取用于调用 Microsoft Graph 的访问令牌。 你的应用还需要适当的权限。 有关详细信息,请参阅 威胁情报权限

常见用例

威胁情报 API 分为几个main类别:

  • 有关威胁或威胁参与者的书面详细信息,例如 文章intelligenceProfile
  • 有关 主机的属性,例如 hostCookiepassiveDnswhois

下表列出了威胁情报 API 的一些常见用例。

用例 REST 资源 另请参阅
阅读有关威胁情报的文章。 文章 文章方法
阅读有关当前或以前在 Internet 上可用且Microsoft Defender 威胁智能检测到的主机的信息。 可以获取有关主机的更多详细信息,包括关联的 Cookie、被动 DNS 条目、信誉等。 host
hostCookie
passiveDnsRecord
hostReputation
主机的方法
阅读有关在 主机上观察到的 Web 组件的信息。 hostComponent hostComponent 的方法
阅读有关在 主机上观察到的 Cookie 的信息。 hostCookie hostCookie 的方法
发现有关主机的引用主机对。 主机对包括有关 HTTP 重定向、使用来自主机的 CSS 或图像等详细信息。 hostPair hostPair 的方法
发现有关Microsoft Defender 威胁智能在主机上观察到的端口的信息,包括这些端口上的组件、观察到端口的次数以及每个主机端口横幅响应包含的内容。 hostPort
hostPortComponent
hostPortBanner
hostPort 的方法
读取主机上观察的 SSL 证书数据。 此数据包括有关 SSL 证书以及主机与 SSL 证书之间的关系的信息。 hostSslCertificate
sslCertificate
hostSslCertificate 的方法
读取 在主机上观察到的 Internet 跟踪器。 hostTracker hosttracker 的方法
阅读有关威胁参与者和常见入侵工具的情报配置文件。 intelligenceProfile
intelligenceProfileIndicator
intelligenceProfile 方法
读取有关 主机的被动 DNS (PDNS) 记录。 passiveDnsRecord passiveDnsRecord 的方法
读取 SSL 证书数据。 有关 SSL 证书与 主机的关系的详细信息,此信息是独立的。 sslCertificate sslCertificate 的方法
读取 主机的子域详细信息。 子域 子域的方法
阅读有关漏洞的详细信息。 漏洞 漏洞方法
阅读 主机的 WHOIS 详细信息。 whoisRecord whoisRecord 的方法

后续步骤

Microsoft Graph 中的威胁情报 API 可帮助保护组织免受现代网络威胁的侵害。 若要了解详细信息:

  • 深入了解对方案最有帮助的资源的方法和属性。
  • 尝试在 Graph 浏览器中调用 API。