Verwenden der Microsoft Graph-Sicherheits-API

Die Microsoft Graph-Sicherheits-API bietet eine einheitliche Schnittstelle und ein einheitliches Schema für die Integration in Sicherheitslösungen von Microsoft und Ökosystempartnern. Auf diese Weise können Kunden Sicherheitsvorgänge optimieren und sich besser vor zunehmenden Cyberbedrohungen schützen. Die Microsoft Graph-Sicherheits-API verknüpft Abfragen mit allen integrierten Sicherheitsanbietern und aggregiert Antworten. Verwenden Sie die Microsoft Graph-Sicherheits-API, um Anwendungen zu erstellen, die:

• Konsolidieren und korrelieren Sie Sicherheitswarnungen aus mehreren Quellen.
• Pullen und Untersuchen aller Vorfälle und Warnungen von Diensten, die Teil von Microsoft 365 Defender sind oder in microsoft 365 Defender integriert sind.
• Die Sperrung kontextbezogener Daten aufheben, um Untersuchungen zu ermöglichen.
• Automatisieren von Sicherheitsaufgaben, Geschäftsprozessen, Workflows und Berichterstellung
• Senden sie Bedrohungsindikatoren an Microsoft-Produkte, um angepasste Erkennungen zu ermöglichen.
• Aufrufen von Aktionen für als Reaktion auf neue Bedrohungen.
• Bieten Sie Einblick in Sicherheitsdaten, um ein proaktives Risikomanagement zu ermöglichen.

Die Microsoft Graph-Sicherheits-API bietet wichtige Features, wie in den folgenden Abschnitten beschrieben.

Erweiterte Bedrohungssuche

Die erweiterte Suche ist ein abfragebasiertes Tool zur Bedrohungssuche, mit dem Sie rohe Daten von bis zu 30 Tagen untersuchen können. Sie können Ereignisse in Ihrem Netzwerk proaktiv prüfen, um Bedrohungsindikatoren und -entitäten zu ermitteln. Der flexible Zugriff auf Daten ermöglicht die uneingeschränkte Suche nach bekannten und potenziellen Bedrohungen.

Verwenden Sie runHuntingQuery, um eine Kusto-Abfragesprache-Abfrage (KQL) für daten auszuführen, die in Microsoft 365 Defender gespeichert sind. Verwenden Sie das zurückgegebene Resultset, um eine vorhandene Untersuchung anzureichern oder um unerkannte Bedrohungen in Ihrem Netzwerk aufzudecken.

Kontingente und Ressourcenzuordnung

Die folgenden Bedingungen beziehen sich auf alle Abfragen.

1. Abfragen untersuchen und geben Daten der letzten 30 Tage zurück.
2. Ergebnisse können bis zu 100.000 Zeilen zurückgeben.
3. Sie können bis zu mindestens 45 Anrufe pro Minute und Mandant tätigen. Die Anzahl der Anrufe variiert je nach Mandant je nach Größe.
4. Jedem Mandanten werden CPU-Ressourcen basierend auf der Mandantengröße zugeordnet. Abfragen werden blockiert, wenn der Mandant 100 % der zugeordneten Ressourcen bis nach dem nächsten 15-minütigen Zyklus erreicht. Um blockierte Abfragen aufgrund von übermäßigem Verbrauch zu vermeiden, befolgen Sie die Anleitung unter Optimieren Ihrer Abfragen, um cpu-Kontingente zu vermeiden.
5. Wenn eine einzelne Anforderung länger als drei Minuten ausgeführt wird, tritt ein Zeitüberschreitung auf und es wird ein Fehler zurückgegeben.
6. Ein 429 HTTP-Antwortcode gibt an, dass Sie die zugeordneten CPU-Ressourcen erreicht haben, entweder anhand der Anzahl der gesendeten Anforderungen oder der zugewiesenen Laufzeit. Lesen Sie den Antworttext, um den erreichten Grenzwert zu verstehen.

Warnungen

Warnungen sind detaillierte Warnungen zu verdächtigen Aktivitäten im Mandanten eines Kunden, die Von Microsoft oder Partnersicherheitsanbietern identifiziert und für Maßnahmen gekennzeichnet werden. Angriffe verwenden in der Regel verschiedene Techniken gegen verschiedene Arten von Entitäten, z. B. Geräte, Benutzer und Postfächer. Das Ergebnis sind Warnungen von mehreren Sicherheitsanbietern für mehrere Entitäten im Mandanten. Das Zusammenfügen der einzelnen Warnungen, um Einblicke in einen Angriff zu erhalten, kann schwierig und zeitaufwändig sein.

Die Sicherheits-API bietet zwei Arten von Warnungen, die andere Warnungen von Sicherheitsanbietern aggregieren und die Analyse von Angriffen und die Ermittlung der Reaktion vereinfachen:

• Warnungen und Vorfälle: Dies ist die neueste Generation von Warnungen in der Microsoft Graph-Sicherheits-API. Sie werden durch die Warnungsressource und deren Sammlung, Incidentressource , dargestellt, die microsoft.graph.security im Namespace definiert sind.
• Legacywarnungen : Dies sind die erste Generation von Warnungen in der Microsoft Graph-Sicherheits-API. Sie werden durch die im Namespace definierte Warnungsressource microsoft.graph dargestellt.

Warnungen und Vorfälle

Diese Warnungsressourcen rufen zuerst Warnungsdaten von Sicherheitsanbieterdiensten ab, die teil von Microsoft 365 Defender sind oder in diese integriert sind. Anschließend nutzen sie die Daten, um wertvolle Hinweise auf einen abgeschlossenen oder laufenden Angriff, die betroffenen Ressourcen und zugehörige Beweise zurückzugeben. Darüber hinaus korrelieren sie automatisch andere Warnungen mit den gleichen Angriffstechniken oder demselben Angreifer in einen Incident , um einen breiteren Kontext eines Angriffs bereitzustellen. Sie empfehlen Reaktions- und Wiederherstellungsaktionen, die eine konsistente Umsetzbarkeit für alle verschiedenen Anbieter bieten. Die umfangreichen Inhalte erleichtern es Analysten, gemeinsam Bedrohungen zu untersuchen und darauf zu reagieren.

Warnungen von den folgenden Sicherheitsanbietern sind über diese umfangreichen Warnungen und Vorfälle verfügbar:

• Microsoft Entra ID Protection
• Microsoft 365 Defender
• Microsoft Defender for Cloud Apps
• Microsoft Defender für Endpunkt
• Microsoft Defender for Identity
• Microsoft Defender für Office 365
• Verhinderung von Datenverlust in Microsoft Purview

Legacywarnungen

Hinweis

Die Legacywarnungs-API ist veraltet und wird im April 2026 entfernt. Es wird empfohlen, zur neuen Warnungs- und Incident-API zu migrieren.

Die Legacywarnungsressourcen bilden einen Verbundaufruf von unterstützten Azure- und Microsoft 365 Defender-Sicherheitsanbietern. Sie aggregieren allgemeine Warnungsdaten zwischen den verschiedenen Domänen, damit Anwendungen die Verwaltung von Sicherheitsproblemen über alle integrierten Lösungen hinweg vereinheitlichen und optimieren können. Sie ermöglichen Es Anwendungen, Warnungen und Kontext zu korrelieren, um den Schutz und die Reaktion auf Bedrohungen zu verbessern.

Die Legacyversion der Sicherheits-API bietet die Warnungsressource , die aufruft von unterstützten Azure- und Microsoft 365 Defender-Sicherheitsanbietern. Diese Warnungsressource aggregiert Warnungsdaten, die in den verschiedenen Domänen üblich sind, damit Anwendungen die Verwaltung von Sicherheitsproblemen über alle integrierten Lösungen hinweg vereinheitlichen und optimieren können. Dadurch können Anwendungen Warnungen und Kontext korrelieren, um den Schutz und die Reaktion auf Bedrohungen zu verbessern.

Mit der Warnungsaktualisierungsfunktion können Sie die status bestimmter Warnungen für verschiedene Sicherheitsprodukte und Dienste synchronisieren, die in die Microsoft Graph-Sicherheits-API integriert sind, indem Sie Ihre Warnungsentität aktualisieren.

Warnungen der folgenden Anbieter sind über die Warnungsressource verfügbar. Die Unterstützung für GET-Warnungen, PATCH-Warnungen und Abonnieren (über Webhooks) ist in der folgenden Tabelle angegeben.

Sicherheitsanbieter	GET-Warnung	PATCH-Warnung	Warnung abonnieren
Microsoft Entra ID Protection	✓	Dateiproblem *	✓
Microsoft 365 Default Cloud-App-Sicherheit Benutzerdefinierte Benachrichtigung	✓	Dateiproblem	Dateiproblem
Microsoft Defender for Cloud Apps	✓	Dateiproblem *	✓
Microsoft Defender für Endpunkt **	✓	✓	Dateiproblem
Microsoft Defender for Identity ***	✓	Dateiproblem *	✓
Microsoft Sentinel (früher Azure Sentinel)	✓	In Microsoft Sentinel nicht unterstützt	✓

Hinweis: Neue Anbieter werden kontinuierlich in das Microsoft Graph-Sicherheitsökosystem integriert. Um neue Anbieter oder erweiterten Support von vorhandenen Anbietern anzufordern, melden Sie ein Problem im Microsoft Graph-Sicherheits-GitHub-Repository.

* Dateiproblem: Warnungs-status wird für alle integrierten Anwendungen der Microsoft Graph-Sicherheits-API aktualisiert, aber nicht in der Verwaltungsoberfläche des Anbieters wider.

** Microsoft Defender for Endpoint erfordert zusätzliche Benutzerrollen, die für die Microsoft Graph-Sicherheits-API erforderlich sind. Nur die Benutzer in Microsoft Defender for Endpoint- und Microsoft Graph-Sicherheits-API-Rollen können auf die Microsoft Defender for Endpoint Daten zugreifen. Da die Nur-Anwendungs-Authentifizierung hierdurch nicht eingeschränkt wird, empfehlen wir, ein Nur-App-Authentifizierungstoken zu verwenden.

Microsoft Defender for Identity Warnungen sind über die Microsoft Defender for Cloud Apps-Integration verfügbar. Dies bedeutet, dass Sie nur dann Microsoft Defender for Identity Warnungen erhalten, wenn Sie Unified SecOps hinzugefügt und Microsoft Defender for Identity mit Microsoft Defender for Cloud Apps verbunden haben. Erfahren Sie mehr über die Integration von Microsoft Defender for Identity und Microsoft Defender for Cloud Apps.

Angriffssimulation und -training

Angriffssimulation und Schulung ist Teil von Microsoft Defender für Office 365. Mit diesem Dienst können Nutzer in einem Mandanten eine realistische, gutartige Phishing-Attacke erleben und daraus lernen. Benutzererfahrungen mit Social-Engineering-Simulationen und -Schulungen für Endnutzer tragen dazu bei, das Risiko zu verringern, dass Nutzer mit diesen Angriffstechniken angegriffen werden. Die Angriffssimulations- und Schulungs-API ermöglicht Mandantenadministratoren, gestartete Simulationsübungen und Schulungen anzuzeigen und Berichte über abgeleitete Einblicke in das Onlineverhalten von Benutzern in den Phishingsimulationen zu erhalten.

eDiscovery

Microsoft Purview eDiscovery (Premium) bietet einen End-to-End-Workflow zum Aufbewahren, Sammeln, Analysieren, Überprüfen und Exportieren von Inhalten, die auf interne und externe Untersuchungen Ihrer Organisation reagieren.

Vorfälle

Ein Incident ist eine Sammlung korrelierter Warnungen und zugehöriger Daten, die die Geschichte eines Angriffs bilden. Die Verwaltung von Vorfällen ist Teil von Microsoft 365 Defender und im Microsoft 365 Defender-Portal (https://security.microsoft.com/) verfügbar.

Microsoft 365-Dienste und -Anwendungen erstellen Warnungen, wenn sie ein verdächtiges oder bösartiges Ereignis oder eine Aktivität erkennen. Einzelne Warnungen bieten wertvolle Hinweise zu einem abgeschlossenen oder laufenden Angriff. Angriffe wenden jedoch in der Regel verschiedene Techniken gegen verschiedene Arten von Entitäten an, z. B. Geräte, Benutzer und Postfächer. Das Ergebnis sind mehrere Warnungen für mehrere Entitäten in Ihrem Mandanten.

Da es schwierig und zeitaufwändig sein kann, die einzelnen Warnungen zusammenzufassen, um Einblicke in einen Angriff zu erhalten, aggregiert Microsoft 365 Defender die Warnungen und die zugehörigen Informationen automatisch zu einem Incident.

Das Gruppieren von verwandten Warnungen in einem Vorfall gibt Sie einen umfassenden Überblick über einen Angriff. Sie können beispielsweise Folgendes sehen:

• Wo der Angriff begonnen hat.
• Welche Taktiken verwendet wurden.
• Wie weit der Angriff Ihren Mandanten gelangt ist.
• Den Umfang des Angriffs, z. B. wie viele Geräte, Benutzer und Postfächer betroffen waren.
• Alle Daten, die dem Angriff zugeordnet sind.

Die Vorfall-Ressource und ihre APIs ermöglichen es Ihnen, Vorfälle zu sortieren, um eine fundierte Cybersicherheitsreaktion zu entwickeln. Es macht eine Sammlung von Incidents mit den zugehörigen Warnungen verfügbar, die innerhalb des Zeitraums, den Sie in Ihrer Umgebungsaufbewahrungsrichtlinie angegeben haben, in Ihrem Netzwerk gekennzeichnet wurden.

Information Protection

Die Microsoft Graph-API zur Bedrohungsanalyse hilft Organisationen dabei, die von jedem Benutzer in einem Mandanten empfangene Bedrohung zu beurteilen. Auf diese Weise können Kunden Spam-E-Mails, Phishing-URLs oder Malware-Anlagen melden, die Sie an Microsoft senden. Das Ergebnis der Richtlinienprüfung und das Ergebnis der erneuten Überprüfung können den Administratoren der Mandanten helfen, das Urteil über die Bedrohungsprüfung zu verstehen und ihre Unternehmensrichtlinien anzupassen.

Datensatzverwaltung

Die meisten Organisationen müssen Daten verwalten, um branchenspezifische Vorschriften und interne Richtlinien proaktiv einzuhalten, risiken im Falle von Rechtsstreitigkeiten oder sicherheitsrelevanten Sicherheitsverletzungen zu reduzieren und Es den Benutzern ermöglichen, effektiv und flexibel Wissen auszutauschen, das für sie aktuell und relevant ist. Sie können die Datensatzverwaltungs-APIs verwenden, um Aufbewahrungsbezeichnungen systematisch auf verschiedene Inhaltstypen anzuwenden, die unterschiedliche Aufbewahrungseinstellungen erfordern. Sie können beispielsweise den Beginn des Aufbewahrungszeitraums ab dem Zeitpunkt konfigurieren, an dem der Inhalt erstellt, zuletzt geändert oder bezeichnet wurde oder wenn ein Ereignis für einen bestimmten Ereignistyp auftritt. Darüber hinaus können Sie Dateiplandeskriptoren verwenden, um die Verwaltbarkeit dieser Aufbewahrungsbezeichnungen zu verbessern.

Sicherheitsbewertung

Microsoft Secure Score ist eine Sicherheitsanalyselösung, mit der Sie Einblicke in Ihr Sicherheitsportfolio und in Verbesserungsmöglichkeiten erhalten. Mit einer einzelnen Bewertung können Sie besser verstehen, was Sie getan haben, um Ihr Risiko in Microsoft-Lösungen zu reduzieren. Außerdem können Sie Ihre Bewertung mit anderen Organisationen vergleichen und sehen, wie sich Ihre Bewertung im Laufe der Zeit entwickelt hat. Die Microsoft Graph-Sicherheitsentitäten secureScore und secureScoreControlProfile helfen Ihnen dabei, die Sicherheits- und Produktivitätsanforderungen Ihrer organization auszugleichen und gleichzeitig eine geeignete Mischung aus Sicherheitsfeatures zu ermöglichen. Sie können auch projizieren, wie Ihre Bewertung nach Einführung von Sicherheitsfeatures aussehen würde.

Threat Intelligence

Microsoft Defender Threat Intelligence bietet erstklassige Bedrohungsinformationen, um Ihre organization vor modernen Cyberbedrohungen zu schützen. Sie können Threat Intelligence verwenden, um Angreifer und deren Vorgänge zu identifizieren, die Erkennung und Behebung zu beschleunigen und Ihre Sicherheitsinvestitionen und Workflows zu verbessern.

Mit den Threat Intelligence-APIs können Sie die auf der Benutzeroberfläche gefundene Intelligenz operationalisieren. Dazu gehören fertige Intelligenz in Form von Artikeln und Intel-Profilen, Machine Intelligence wie IoCs und Reputationsbewertungen sowie Anreicherungsdaten wie passives DNS, Cookies, Komponenten und Tracker.

Allgemeine Anwendungsfälle

Im Folgenden sind einige der am häufigsten verwendeten Anforderungen für die Arbeit mit der Microsoft Graph-Sicherheits-API aufgeführt.

Anwendungsfälle	REST-Ressourcen	Ausprobieren im Graph-Tester
Profile für Steuerung der Sicherheitsbewertung aktualisieren	secureScoreControlProfile aktualisieren	https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles/{id}
Warnungen und Vorfälle
Warnungen auflisten	Warnungen auflisten	https://graph.microsoft.com/v1.0/security/alerts_v2
Warnung aktualisieren	Warnung aktualisieren	https://graph.microsoft.com/v1.0/security/alerts/{id}
Auflisten von Vorfällen	Auflisten von Vorfällen	https://graph.microsoft.com/v1.0/security/incidents
Auflisten von Incidents mit Warnungen	Auflisten von Vorfällen	https://graph.microsoft.com/v1.0/security/incidents?$expand=alerts
Aktualisieren von Vorfällen	Aktualisieren von Vorfällen	https://graph.microsoft.com/v1.0/security/incidents/{id}
eDiscovery
eDiscovery-Fälle auflisten	eDiscoveryCases auflisten	https://graph.microsoft.com/v1.0/security/cases/eDiscoveryCases
eDiscovery-Fallvorgänge auflisten	caseOperations auflisten	https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{id}/operations
Legacywarnungen
Warnungen auflisten	Warnungen auflisten	https://graph.microsoft.com/v1.0/security/alerts
Warnungen aktualisieren	Warnung aktualisieren	https://graph.microsoft.com/v1.0/security/alerts/{alert-id}
Sicherheitsbewertungen
Sicherheitsbewertungen auflisten	secureScores auflisten	https://graph.microsoft.com/v1.0/security/secureScores
Secure Score abrufen	Secure Score abrufen	https://graph.microsoft.com/v1.0/security/secureScores/{id}
Profile für Steuerung der Sicherheitsbewertung auflisten	secureScoreControlProfiles auflisten	https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles
Profil für Steuerung der Sicherheitsbewertung abrufen	secureScoreControlProfile abrufen	https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles/{id}

Sie können Microsoft Graph-Webhooks verwenden, um Updates für Microsoft Graph-Sicherheitsentitäten zu abonnieren und zu erhalten.

Ressourcen

Code und Mitwirken an diesen Microsoft Graph-Sicherheits-API-Beispielen:

• ASP.NET (C#)-Beispiel
• Python-Beispiel
• Node.js (JavaScript)-Beispiel

Interaktion mit der Community:

• Treten Sie der technische Access-Community bei
• Diskutieren auf StackOverflow

Nächste Schritte

Die Microsoft Graph-Sicherheits-API kann Ihnen neue Möglichkeiten für die Interaktion mit verschiedenen Sicherheitslösungen von Microsoft und Partnern eröffnen. Gehen Sie folgendermaßen vor, um loszulegen:

• Führen Sie einen Drilldown zu Warnungen, secureScore und secureScoreControlProfiles aus.
• Probieren Sie die API im Graph-Tester aus. Klicken Sie unter Beispielabfragen auf Mehr Beispiele anzeigen, und legen Sie die Kategorie „Sicherheit“ auf ein fest.
• Versuchen Sie, Benachrichtigungen zu Entitätsänderungen zu abonnieren und zu erhalten.

Verwandte Inhalte

Code und Mitwirken an diesem Beispiel für die Microsoft Graph-Sicherheits-API:

• PowerShell-Beispiel

Erkunden Sie weitere Optionen zum Herstellen einer Verbindung mit der Microsoft Graph-Sicherheits-API:

• Microsoft Graph-Sicherheitsconnectors für Logic Apps, Flow und Power Apps
• Beispiele für ein Jupyter-Notizbuch

Interaktion mit der Community:

• Treten Sie der technische Access-Community bei
• Diskutieren auf StackOverflow