Verwenden der Sicherheits-API von Microsoft Graph

Wichtig

APIs unter der /beta Version in Microsoft Graph können geändert werden. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in Version 1.0 verfügbar ist, verwenden Sie die Versionsauswahl .

Die Sicherheits-API von Microsoft Graph bietet eine einheitliche Oberfläche und ein Schema zur Integration in Sicherheitslösungen von Microsoft- und Ökosystem-Partnern. Auf diese Weise können Kunden Sicherheitsvorgänge optimieren und sich besser vor zunehmenden Cyberbedrohungen schützen. Die Microsoft Graph-Sicherheits-API fasst Abfragen an alle integrierten Sicherheitsanbieter zusammen und aggregiert die Antworten. Verwenden Sie die Microsoft Graph-Sicherheits-API, um Anwendungen zu erstellen, die:

• Sicherheitswarnungen aus mehreren Quellen konsolidieren und korrelieren
• Die Sperrung kontextbezogener Daten aufheben, um Untersuchungen zu ermöglichen
• Sicherheitsaufgaben, Geschäftsprozesse, Workflows und Berichte automatisieren
• Bedrohungsindikatoren an Microsoft-Produkte zur individuellen Erkennung senden
• Aktionen als Reaktion auf neue Bedrohungen aufrufen
• Einblicke in Sicherheitsdaten liefern, um ein proaktives Risikomanagement zu ermöglichen

Die Sicherheits-API von Microsoft Graph umfasst die folgenden wichtigen Entitäten.

Sicherheitsaktionen (Vorschau)

Ergreifen Sie sofortige Maßnahmen zum Schutz vor Bedrohungen mit der Microsoft Graph-Sicherheitsentität securityAction. Wenn ein Sicherheitsanalytiker einen neuen Indikator entdeckt, z. B. eine bösartige Datei, URL, Domäne oder IP-Adresse, kann der Schutz in Ihren Microsoft-Sicherheitslösungen sofort aktiviert werden. Rufen Sie eine Aktion für einen bestimmten Anbieter auf, zeigen Sie alle ausgeführten Aktionen an, und brechen Sie eine Aktion bei Bedarf ab. Testen Sie Sicherheitsaktionen mit Microsoft Defender für Endpunkt (früher Microsoft Defender ATP), um bösartige Aktivitäten auf Ihren Windows-Endpunkten mithilfe von Eigenschaften zu blockieren, die in Warnungen angezeigt oder bei Untersuchungen identifiziert wurden.

Hinweis: Sicherheitsaktionen unterstützen derzeit nur Anwendungsberechtigungen.

Warnungen

Warnungen sind potenzielle Sicherheitsprobleme im Mandanten des Kunden, die von Sicherheitslösungen von Microsoft oder Partnern identifiziert und entsprechend gekennzeichnet wurden, sodass Maßnahmen ergriffen oder Benachrichtigungen gesendet werden. Mit der Microsoft Graph-Sicherheitsentität alerts können Sie die Verwaltung von Sicherheitsproblemen über alle integrierten Lösungen hinweg vereinheitlichen und optimieren. Auf diese Weise können Warnungen und Kontext in Anwendungen korreliert werden, wodurch der Bedrohungsschutz und die Reaktionszeit verbessert werden. Mit der Funktion zum Aktualisieren der Warnung können Sie den Status bestimmter Warnungen über unterschiedliche Sicherheitsprodukte und -dienste hinweg, die in die Sicherheits-API von Microsoft Graph integriert sind, synchronisieren, indem Sie die alerts-Entität aktualisieren.

Warnungen der folgenden Anbieter sind über die Microsoft Graph-Sicherheits-API verfügbar. Die Unterstützung für GET-Warnungen, PATCH-Warnungen und Subscribe (über Webhooks) ist in der folgenden Tabelle angegeben.

Sicherheitsanbieter	GET-Warnung	PATCH-Warnung	Warnung abonnieren
Azure Security Center	✓	✓	✓
Azure Active Directory Identity Protection	✓	Dateiproblem *	✓
Microsoft Defender for Cloud Apps (vormals Microsoft Cloud App Security)	✓	Dateiproblem *	✓
Microsoft Defender für Endpunkt (vormals Microsoft Defender ATP) **	✓	✓	Dateiproblem
Microsoft Defender for Identity (vormals Azure Advanced Threat Protection) **	✓	Dateiproblem *	✓
Microsoft 365 Default Cloud-App-Sicherheit Benutzerdefinierte Benachrichtigung	✓	Dateiproblem	Dateiproblem
Azure Information Protection (Vorschau)	✓	Dateiproblem *	✓
Azure Sentinel (Vorschau)	✓	In Azure Sentinel nicht unterstützt	✓

Hinweis: In das Microsoft Graph-Sicherheitsökosystem werden ständige neue Anbieter eingegliedert. Um neue Anbieter anzufordern oder erweiterte Unterstützung von bestehenden Anbietern zu erhalten, melden Sie ein Problem im GitHub-Repository der Microsoft Graph-Sicherheits-API an.

* Dateiproblem: Der Warnungsstatus wird über die integrierten Anwendungen der Microsoft Graph-Sicherheits-API aktualisiert, spiegelt sich aber nicht in der Verwaltungsoberfläche des Anbieters wider.

** Microsoft Defender für Endpunkt erfordert zusätzliche Benutzerrollen neben den von der Microsoft Graph-Sicherheits-API benötigten Benutzerrollen. Nur die Benutzer mit den Microsoft Defender für Endpunkt- und Microsoft Graph-Sicherheits-API-Rollen können auf die Microsoft Defender für Endpunkt-Daten zugreifen. Da die Nur-Anwendungs-Authentifizierung hierdurch nicht eingeschränkt wird, empfehlen wir, ein Nur-App-Authentifizierungstoken zu verwenden.

*** Microsoft Defender for Identity-Warnungen sind über die Integration von Microsoft Defender for Cloud Apps verfügbar. Dies bedeutet, dass Sie Microsoft Defender for Identity-Warnungen nur erhalten, wenn Sie Unified SecOps beigetreten sind und Microsoft Defender for Identity mit Microsoft Defender for Cloud Apps verbunden haben. Erfahren Sie mehr über die Integration von Microsoft Defender for Identity und Microsoft Defender for Cloud Apps.

Angriffssimulation und Schulung (Vorschau)

Angriffssimulation und Schulung ist Teil von Microsoft Defender für Office 365. Mit diesem Dienst können Nutzer in einem Mandanten eine realistische, gutartige Phishing-Attacke erleben und daraus lernen. Benutzererfahrungen mit Social-Engineering-Simulationen und -Schulungen für Endnutzer tragen dazu bei, das Risiko zu verringern, dass Nutzer mit diesen Angriffstechniken angegriffen werden. Die Angriffssimulations- und Schulungs-API ermöglicht Mandantenadministratoren, gestartete Simulationsübungen und Schulungen anzuzeigen und Berichte über abgeleitete Einblicke in das Onlineverhalten von Benutzern in den Phishingsimulationen zu erhalten.

eDiscovery (Vorschau)

Microsoft Purview eDiscovery (Premium) bietet einen End-to-End-Workflow zum Aufbewahren, Sammeln, Analysieren, Überprüfen und Exportieren von Inhalten, die auf interne und externe Untersuchungen Ihrer Organisation reagieren.

Information Protection

Bezeichnungen: Information Protection-Bezeichnungen enthalten Einzelheiten darüber, wie eine Vertraulichkeitsbezeichnung ordnungsgemäß auf Informationen angewendet werden kann. Die API für Information Protection-Bezeichnungen beschreibt die Konfiguration von Vertraulichkeitsbezeichnungen, die für einen Benutzer oder Mandanten gelten.

Bedrohungsanalyse: Die Microsoft Graph-API zur Bedrohungsanalyse hilft Organisationen dabei, die von jedem Benutzer in einem Mandanten empfangene Bedrohung zu beurteilen. Auf diese Weise können Kunden Spam- oder verdächtige E-Mails, Phishing-URLs oder Malware-Anlagen, die sie erhalten, an Microsoft melden. Microsoft prüft das betreffende Beispiel und die geltenden Unternehmensrichtlinien, bevor es ein Ergebnis erzeugt, damit Mandantenadministratoren die Bewertung der Bedrohungsüberprüfung verstehen und ihre Organisationsrichtlinie anpassen können. Sie können sie auch verwenden, um legitime E-Mails zu melden, um zu verhindern, dass sie blockiert werden.

Hinweis: Es wird empfohlen, stattdessen die API für die Bedrohungsübermittlung zu verwenden.

Sicherheitsbewertung

Microsoft Secure Score ist eine Sicherheitsanalyselösung, mit der Sie Einblicke in Ihr Sicherheitsportfolio und in Verbesserungsmöglichkeiten erhalten. Anhand eines einzigen Faktors können Sie verstehen, wie Sie die Risiken in Microsoft-Lösungen minimieren können. Außerdem können Sie Ihre Bewertung mit anderen Organisationen vergleichen und sehen, wie sich Ihre Bewertung im Laufe der Zeit entwickelt hat. Mit der SecureScore- und der SecureScoreControlProfile-Entität von Microsoft Graph-Sicherheit können Sie die Sicherheits- und Produktivitätsanforderungen Ihrer Organisation abwägen und dabei gleichzeitig die korrekte Mischung von Sicherheitsfunktionen aktivieren. Sie können auch projizieren, wie Ihre Bewertung nach Einführung von Sicherheitsfeatures aussehen würde.

Bedrohungsindikatoren (Vorschau)

Bedrohungsindikatoren, auch als Indicators of Compromise (IoC) bezeichnet, stellen Daten über bekannte Bedrohungen dar, wie beispielsweise bösartige Dateien, URLs, Domänen und IP-Adressen. Kunden können Indikatoren durch internes Sammeln von Informationen zu Bedrohungen (Threat Intelligence) generieren oder Indikatoren von Threat Intelligence Communities, lizenzierten Feeds und anderen Quellen erwerben. Dieser Indikatoren werden dann in verschiedenen Sicherheitstools zum Schutz vor verwandten Bedrohungen verwendet.

Die Microsoft Graph-Sicherheitsentität tiIndicator ermöglicht es Kunden, Bedrohungsindikatoren an Microsoft-Sicherheitslösungen zu übermitteln, um Blockier- und Warnaktionen bei bösartigen Aktivitäten zu aktivieren oder zu erlauben, wodurch Aktionen für Indikatoren unterdrückt werden, die als nicht relevant für ein Unternehmen eingestuft werden. Beim Senden von Indikatoren werden sowohl die Microsoft-Lösung angegeben, die den Indikator verwendet, als auch die Aktion, die für diesen Indikator angewendet wird.

Sie können die Entität tiIndicator in Ihre Anwendung integrieren oder eine der folgenden integrierten Threat Intelligence-Plattformen (TIP) verwenden:

• Palo Alto Networks – MineMeld Threat Intelligence Sharing
• MISP – Open Source Threat Intelligence Platform verfügbar im TI-Beispiel

Bedrohungsindikatoren, die über die Microsoft Graph-Sicherheits-API gesendet wurden, sind derzeit in den folgenden Produkten verfügbar:

• Azure Sentinel: Ermöglicht es Ihnen, Bedrohungsindikatoren mit Protokolldaten zu korrelieren, um Benachrichtigungen zu bösartigen Aktivitäten zu erhalten.
• Microsoft Defender für Endpunkt: Ermöglicht es Ihnen, Bedrohungsindikatoren, die mit bösartigen Aktivitäten verbunden sind, zu melden und/oder zu blockieren. Sie können auch festlegen, dass ein Indikator den Indikator aus automatisierten Ermittlungen ignoriert. Ausführliche Informationen zu den unterstützten Indikatortypen und den Beschränkungen der Indikatoranzahl pro Mandant finden Sie unter Verwalten von Indikatoren.

Unterstützung für andere Microsoft-Sicherheitsdienste wird in Kürze verfügbar sein.

Bedrohungsübermittlung

Die Microsoft Graph-API zur Bedrohungsübermittlung hilft Organisationen dabei, die von einem Benutzer in einem Mandanten empfangene Bedrohung zu übermitteln. Auf diese Weise können Kunden Spam- oder verdächtige E-Mails, Phishing-URLs oder Malware-Anlagen, die sie erhalten, an Microsoft melden. Microsoft überprüft die Übermittlung anhand der geltenden Organisationsrichtlinien und sendet sie zur Analyse an menschliche Prüfer. Das Ergebnis hilft Mandantenadministratoren dann, die Bewertung der Bedrohungsprüfung zu verstehen und ihre Unternehmensrichtlinien anzupassen. Administratoren können die Ergebnisse auch verwenden, um legitime E-Mails zu melden, um zu verhindern, dass sie blockiert werden.

**Hinweis: ** Es wird empfohlen, diese API anstelle der veralteten Information Protection-API zur Bedrohungsbewertung zu verwenden. Die Bedrohungsübermittlungs-API bietet eine einheitliche Funktionalität für die Übermittlung von Sicherheitsbedrohungen und unterstützt einheitliche Ergebnisse, die Abfrage von Benutzerübermittlungen, die Blockierliste zum Zulassen von Mandanten, Überprüfungen durch den Administrator und den Nur-App-Modus.

Allgemeine Anwendungsfälle

Im Folgenden werden einige der am häufigsten verwendeten Anfragen das Arbeiten mit der Sicherheit-APIs von Microsoft Graph vorgestellt.

Anwendungsfälle	REST-Ressourcen	Ausprobieren im Graph-Tester
Aktionen (Vorschau)
Sicherheitsaktion abrufen	Sicherheitsaktion abrufen	https://graph.microsoft.com/beta/security/securityActions/{id}
Sicherheitsaktionen auflisten	Sicherheitsaktionen auflisten	https://graph.microsoft.com/beta/security/securityActions
Sicherheitsaktionen erstellen	Sicherheitsaktionen erstellen	https://graph.microsoft.com/beta/security/securityActions
Sicherheitsaktionen abbrechen	Sicherheitsaktionen abbrechen	https://graph.microsoft.com/beta/security/securityActions/{id}/cancelSecurityAction
Benachrichtigungen
Warnungen auflisten	Warnungen auflisten	https://graph.microsoft.com/beta/security/alerts
Warnungen aktualisieren	Warnung aktualisieren Mehrere Warnungen aktualisieren	https://graph.microsoft.com/beta/security/alerts/{alert-id} https://graph.microsoft.com/beta/security/alerts/updateAlerts
Angriffssimulation und Schulung (Vorschau)
Simulationen auflisten	Simulationen auflisten	https://graph.microsoft.com/beta/security/attackSimulation/simulations
Übersichtsbericht zur Simulation abrufen	Übersichtsbericht zur Simulation abrufen	https://graph.microsoft.com/beta/security/attackSimulation/simulations/{id}/report/overview
Bericht "Simulationsbenutzer auflisten"	Bericht "Simulationsbenutzer auflisten"	https://graph.microsoft.com/beta/security/attackSimulation/simulations/{id}/report/simulationUsers
eDiscovery
eDiscovery-Fälle auflisten	eDiscoveryCases auflisten	https://graph.microsoft.com/beta/security/cases/eDiscoveryCases
eDiscovery-Fallvorgänge auflisten	caseOperations auflisten	https://graph.microsoft.com/beta/security/cases/eDiscoverycases/{id}/operations
Sicherheitsbewertungen
Sicherheitsbewertungen auflisten	List secureScores	https://graph.microsoft.com/beta/security/secureScores
Profile für Steuerung der Sicherheitsbewertung
Profile für Steuerung der Sicherheitsbewertung auflisten	List secureScoreControlProfiles	https://graph.microsoft.com/beta/security/secureScoreControlProfiles
Profile für Steuerung der Sicherheitsbewertung aktualisieren	secureScoreControlProfiles aktualisieren	https://graph.microsoft.com/beta/security/secureScoreControlProfiles/{id}
Hinweise zur Bedrohungserkennung (Vorschau)
TI-Indikator abrufen	Get tiIndicator	https://graph.microsoft.com/beta/security/tiIndicators/{id}
TI-Indikatoren auflisten	List tiIndicators	https://graph.microsoft.com/beta/security/tiIndicators
TI-Indikator erstellen	Create tiIndicator	https://graph.microsoft.com/beta/security/tiIndicators
TI-Indikatoren senden	Submit tiIndicators	https://graph.microsoft.com/beta/security/tiIndicators/submitTiIndicators
TI-Indikatoren aktualisieren	Update tiIndicator Update multiple tiIndicators	https://graph.microsoft.com/beta/security/tiIndicators/{id} https://graph.microsoft.com/beta/security/tiIndicators/updateTiIndicators
TI-Indikatoren löschen	Delete tiIndicator Delete multiple tiIndicators Delete tiIndicator by externalId	LÖSCHEN https://graph.microsoft.com/beta/security/tiIndicators/{id} POST https://graph.microsoft.com/beta/security/tiIndicators/deleteTiIndicators POST https://graph.microsoft.com/beta/security/tiIndicators/deleteTiIndicatorsByExternalId
Bedrohungsübermittlung
E-Mail-Bedrohungsübermittlung abrufen	emailThreat abrufen	https://graph.microsoft.com/beta/security/threatSubmission/emailThreats/{id}
E-Mail-Bedrohungsübermittlungen auflisten	emailThreats auflisten	https://graph.microsoft.com/beta/threatSubmission/emailThreats
E-Mail-Bedrohungsübermittlung erstellen	emailThreat erstellen	https://graph.microsoft.com/beta/security/threatSubmission/emailThreats
E-Mail-Bedrohungsübermittlung überprüfen	emailThreat überprüfen	https://graph.microsoft.com/beta/security/threatSubmission/emailThreats/{id}/review
Dateibedrohungsübermittlung abrufen	fileThreat abrufen	https://graph.microsoft.com/beta/security/threatSubmission/fileThreats/{id}
Dateibedrohungsübermittlungen auflisten	fileThreats auflisten	https://graph.microsoft.com/beta/threatSubmission/urlThreats
Dateibedrohungsübermittlung erstellen	fileThreat erstellen	https://graph.microsoft.com/beta/security/threatSubmission/fileThreats
URL-Bedrohungsübermittlung abrufen	urlThreat abrufen	https://graph.microsoft.com/beta/security/threatSubmission/urlThreats/{id}
URL-Bedrohungsübermittlungen auflisten	urlThreats auflisten	https://graph.microsoft.com/beta/security/threatSubmission/urlThreats
URL-Bedrohungsübermittlung erstellen	urlThreat erstellen	https://graph.microsoft.com/beta/security/threatSubmission/urlThreats
Richtlinie für die E-Mail-Bedrohungsübermittlung abrufen	emailThreatSubmissionPolicy abrufen	https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies/{id}
Richtlinien für die E-Mail-Bedrohungsübermittlung auflisten	emailThreatSubmissionPolicies auflisten	https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies
Richtlinie für die E-Mail-Bedrohungsübermittlung erstellen	emailThreatSubmissionPolicy erstellen	https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies
Richtlinie für die E-Mail-Bedrohungsübermittlung aktualisieren	emailThreatSubmissionPolicy aktualisieren	https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies/{id}
Richtlinie für die E-Mail-Bedrohungsübermittlung löschen	emailThreatSubmissionPolicy löschen	https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies/{id}

Sie können Microsoft Graph-Webhooks verwenden, um Benachrichtigungen über Aktualisierungen von Entitäten der Microsoft Graph-Sicherheits-API zu abonnieren und zu empfangen.

Neuerungen

Informieren Sie sich über die aktuellsten neuen Features und Updates für diese API-Sätze.

Nächste Schritte

Die Microsoft Graph-Sicherheits-API kann neue Möglichkeiten zum Arbeiten mit anderen Sicherheitslösungen von Microsoft und Partnern eröffnen. Gehen Sie folgendermaßen vor, um loszulegen:

• Führen Sie einen Drilldown zu Warnungen, tiIndicator (Vorschau), securityAction (Vorschau), secureScore, and secureScoreControlProfiles aus.
• Probieren Sie die API im Graph-Tester aus. Klicken Sie unter Beispielabfragen auf Mehr Beispiele anzeigen, und legen Sie die Kategorie „Sicherheit“ auf ein fest.
• Versuchen Sie, Benachrichtigungen zu Entitätsänderungen zu abonnieren und zu erhalten.

Benötigen Sie weitere Ideen? Dann sehen Sie sich an, wie unsere Partner Microsoft Graph verwenden.

Weitere Artikel

Code und Beiträge zu den folgenden Beispielen für die Microsoft Graph-Sicherheits-API:

• ASP.NET (C#)-Beispiel
• Python-Beispiel
• Node.js (JavaScript)-Beispiel
• PowerShell-Beispiel
• Andere Beispiele oder Einbringen einer neuen Stichprobe

Weitere Optionen zur Verbindung mit der Microsoft Graph-Sicherheits-API finden Sie hier:

• Microsoft Graph-Sicherheitsconnectors für Logic Apps, Flow Apps und Power Apps
• Beispiele für ein Jupyter-Notizbuch

Interaktion mit der Community:

• Treten Sie der technische Access-Community bei
• Diskutieren auf StackOverflow