Uso de la API de seguridad de Microsoft Graph

La API de seguridad de Microsoft Graph proporciona una interfaz y un esquema unificados para integrarse con soluciones de seguridad de Microsoft y asociados del ecosistema. Esto permite a los clientes simplificar las operaciones de seguridad y defenderse mejor contra el número creciente de ciberamenazas. La API de seguridad de Microsoft Graph federa las consultas a todos los proveedores de seguridad incorporados y agrega respuestas. Use la API de seguridad de Microsoft Graph para compilar aplicaciones que:

• Consolide y correlacione las alertas de seguridad de varios orígenes.
• Extraiga e investigue todos los incidentes y alertas de los servicios que forman parte o se integran con Microsoft 365 Defender.
• Desbloqueen datos contextuales para obtener información para investigaciones.
• Automatice las tareas de seguridad, los procesos empresariales, los flujos de trabajo y los informes.
• Enviar indicadores de amenazas a productos de Microsoft para detecciones personalizadas.
• Invoque acciones en en respuesta a nuevas amenazas.
• Proporcione visibilidad sobre los datos de seguridad para habilitar la administración proactiva de riesgos.

La API de seguridad de Microsoft Graph proporciona características clave como se describe en las secciones siguientes.

Búsqueda avanzada de amenazas

La búsqueda avanzada es una herramienta de búsqueda de amenazas basada en consultas que le permite explorar hasta 30 días de datos sin procesar. Puede inspeccionar eventos de forma proactiva en su red para localizar entidades e indicadores de amenazas. El acceso flexible a los datos permite realizar búsquedas sin restricciones de amenazas conocidas y potenciales.

Use runHuntingQuery para ejecutar una consulta de Lenguaje de consulta Kusto (KQL) en los datos almacenados en Microsoft 365 Defender. Use el conjunto de resultados devuelto para enriquecer una investigación existente o para detectar amenazas no detectadas en la red.

Cuotas y asignación de recursos

Las condiciones siguientes se relacionan con todas las consultas.

1. Las consultas exploran y devuelven datos de los últimos 30 días.
2. Los resultados pueden devolver hasta 100 000 filas.
3. Puede realizar al menos 45 llamadas por minuto por inquilino. El número de llamadas varía por inquilino en función de su tamaño.
4. A cada inquilino se le asignan recursos de CPU, en función del tamaño del inquilino. Las consultas se bloquean si el inquilino alcanza el 100 % de los recursos asignados hasta después del siguiente ciclo de 15 minutos. Para evitar consultas bloqueadas debido al consumo excesivo, siga las instrucciones de Optimización de las consultas para evitar alcanzar las cuotas de CPU.
5. Si una sola solicitud se ejecuta durante más de tres minutos, se agota el tiempo de espera y devuelve un error.
6. Un 429 código de respuesta HTTP indica que ha alcanzado los recursos de CPU asignados, ya sea por número de solicitudes enviadas o por tiempo de ejecución asignado. Lea el cuerpo de la respuesta para comprender el límite alcanzado.

Alertas

Las alertas son advertencias detalladas sobre actividades sospechosas en el inquilino de un cliente que Microsoft o los proveedores de seguridad de asociados identifican y marcan como acción. Los ataques suelen emplear varias técnicas en diferentes tipos de entidades, como dispositivos, usuarios y buzones. El resultado son alertas de varios proveedores de seguridad para varias entidades del inquilino. Reunir las alertas individuales para obtener información sobre un ataque puede ser difícil y lleva mucho tiempo.

La API de seguridad ofrece dos tipos de alertas que agregan otras alertas de proveedores de seguridad y facilitan el análisis de ataques y la determinación de la respuesta:

• Alertas e incidentes : se trata de la última generación de alertas en la API de seguridad de Microsoft Graph. Se representan mediante el recurso de alerta y su colección, recurso de incidente , definidos en el microsoft.graph.security espacio de nombres.
• Alertas heredadas : son la primera generación de alertas en la API de seguridad de Microsoft Graph. Se representan mediante el recurso de alerta definido en el espacio de microsoft.graph nombres.

Alertas e incidentes

Estos recursos de alertas extraen primero los datos de alerta de los servicios del proveedor de seguridad, que forman parte de Microsoft 365 Defender o están integrados en ellos. A continuación, consumen los datos para devolver pistas enriquecidas y valiosas sobre un ataque completado o en curso, los recursos afectados y las pruebas asociadas. Además, correlacionan automáticamente otras alertas con las mismas técnicas de ataque o con el mismo atacante en un incidente para proporcionar un contexto más amplio de un ataque. Recomiendan acciones de respuesta y corrección, lo que ofrece una capacidad de acción coherente en todos los distintos proveedores. El contenido enriquecido facilita que los analistas investiguen y respondan colectivamente a las amenazas.

Las alertas de los siguientes proveedores de seguridad están disponibles a través de estas alertas e incidentes enriquecidos:

• Protección de Microsoft Entra ID
• Microsoft 365 Defender
• Microsoft Defender for Cloud Apps
• Microsoft Defender para punto de conexión
• Microsoft Defender for Identity
• Microsoft Defender para Office 365
• Prevención de pérdida de datos de Microsoft Purview

Alertas heredadas

Nota:

La API de alertas heredada está en desuso y se quitará en abril de 2026. Se recomienda migrar a la nueva API de alertas e incidentes .

Los recursos de alerta heredados federan las llamadas de los proveedores de seguridad de Azure y Microsoft 365 Defender compatibles. Agregan datos de alerta comunes entre los distintos dominios para permitir que las aplicaciones unifiquen y optimicen la administración de problemas de seguridad en todas las soluciones integradas. Permiten a las aplicaciones correlacionar las alertas y el contexto para mejorar la protección y la respuesta a amenazas.

La versión heredada de la API de seguridad ofrece el recurso de alerta que federa las llamadas de los proveedores de seguridad de Azure y Microsoft 365 Defender admitidos. Este recurso de alerta agrega datos de alerta que son comunes entre los distintos dominios para permitir que las aplicaciones unifiquen y optimicen la administración de problemas de seguridad en todas las soluciones integradas. Esto permite a las aplicaciones correlacionar las alertas y el contexto para mejorar la protección contra amenazas y la respuesta.

Con la funcionalidad de actualización de alertas, puede sincronizar el estado de alertas específicas en diferentes productos y servicios de seguridad que se integran con la API de seguridad de Microsoft Graph actualizando la entidad de alerta .

Las alertas de los siguientes proveedores están disponibles a través del recurso de alerta . La compatibilidad con las alertas GET, las alertas PATCH y la suscripción (a través de webhooks) se indica en la tabla siguiente.

Proveedor de seguridad	OBTENER alerta	REVISAR alerta	Suscribirse a alerta
Protección de Microsoft Entra ID	✓	Problema del archivo *	✓
Microsoft 365 Default Cloud App Security Alerta personalizada	✓	Informar de problema	Informar de problema
Microsoft Defender for Cloud Apps	✓	Problema del archivo *	✓
Microsoft Defender para punto de conexión **	✓	✓	Informar de problema
Microsoft Defender for Identity ***	✓	Problema del archivo *	✓
Microsoft Sentinel (anteriormente Azure Sentinel)	✓	No se admite en Microsoft Sentinel	✓

Nota: Los nuevos proveedores se incorporan continuamente al ecosistema de seguridad de Microsoft Graph. Para solicitar nuevos proveedores o soporte extendido de proveedores existentes, escriba un problema en el repositorio de GitHub de seguridad de Microsoft Graph.

* Problema de archivo: el estado de las alertas se actualiza en las aplicaciones integradas de la API de seguridad de Microsoft Graph, pero no se refleja en la experiencia de administración del proveedor.

** Microsoft Defender para punto de conexión requiere roles de usuario adicionales para los que requiere la API de seguridad de Microsoft Graph. Solo los usuarios de Microsoft Defender para punto de conexión y los roles de API de seguridad de Microsoft Graph pueden acceder a los datos de Microsoft Defender para punto de conexión. Esto no limita la autenticación solo de la aplicación, por lo que le recomendamos que use un token de autenticación solo de la aplicación.

Microsoft Defender for Identity alertas están disponibles a través de la integración de Microsoft Defender for Cloud Apps. Esto significa que obtiene alertas de Microsoft Defender for Identity solo si se unió a Unified SecOps y conectó Microsoft Defender for Identity a Microsoft Defender for Cloud Apps. Obtenga más información sobre cómo integrar Microsoft Defender for Identity y Microsoft Defender for Cloud Apps.

Simulación y entrenamiento de ataques

La simulación de ataques y entrenamiento forma parte de Microsoft Defender para Office 365. Este servicio permite a los usuarios de un inquilino experimentar un ataque de phishing benigno realista y aprender de él. Las experiencias de simulación y aprendizaje de ingeniería social para los usuarios finales ayudan a reducir el riesgo de que los usuarios no cumplan a través de esas técnicas de ataque. La API de simulación de ataques y aprendizaje permite a los administradores de inquilinos ver los ejercicios y aprendizajes de simulación iniciados y obtener informes sobre ideas derivadas en los comportamientos en línea de los usuarios en las simulaciones de phishing.

eDiscovery

Microsoft Purview eDiscovery (premium) ofrece un flujo de trabajo de un extremo a otro para conservar, recopilar, revisar, analizar y exportar el contenido que responde a las investigaciones internas y externas de la organización.

Incidentes

Un incidente es una colección de alertas correlacionadas y datos asociados que componen la historia de un ataque. La administración de incidentes forma parte de Microsoft 365 Defender y está disponible en el portal de Microsoft 365 Defender (https://security.microsoft.com/).

Los servicios y aplicaciones de Microsoft 365 crean alertas cuando detectan un evento o actividad sospechosos o malintencionados. Las alertas individuales proporcionan pistas valiosas sobre un ataque completado o en curso. Sin embargo, los ataques suelen emplear varias técnicas en distintos tipos de entidades, como dispositivos, usuarios y buzones de entrada. El resultado son varias alertas para varias entidades del espacio empresarial.

Dado que reunir las alertas individuales para obtener información sobre un ataque puede ser complicado y lento, Microsoft 365 Defender agrega automáticamente las alertas y su información asociada a un incidente.

La agrupación de alertas relacionadas en un incidente le ofrece una vista completa de un ataque. Por ejemplo, puede ver:

• Dónde se inició el ataque.
• Qué tácticas se usaron.
• Hasta dónde ha llegado el ataque a su cuenta empresarial.
• El ámbito del ataque, como el número de dispositivos, usuarios y buzones de entrada que se vieron afectados.
• Todos los datos asociados al ataque.

El recurso de incidentes y sus API permiten ordenar los incidentes para crear una respuesta de seguridad cibernética fundamentada. Expone una colección de incidentes, con sus alertas relacionadas, que se marcaron en la red, dentro del intervalo de tiempo especificado en la directiva de retención del entorno.

Protección de la información

La API de evaluación de amenazas de Microsoft Graph ayuda a las organizaciones a evaluar la amenaza que recibe cualquier usuario en un inquilino. Esto permite a los clientes informar a Microsoft sobre mensajes de correo no deseado, direcciones URL de suplantación de identidad y datos adjuntos malintencionados que reciben. Los resultados de la comprobación de directivas y del análisis por segunda vez pueden ayudar a los administradores de inquilinos a comprender el veredicto de detección de amenazas y así ajustar su directiva organizativa.

Administración de registros

La mayoría de las organizaciones necesitan administrar los datos para cumplir proactivamente con las regulaciones del sector y las directivas internas, reducir el riesgo en caso de litigio o una vulneración de seguridad, y permitir que las personas compartan de forma eficaz y ágil conocimientos que son actuales y pertinentes para ellas. Puede usar las API de administración de registros para aplicar sistemáticamente etiquetas de retención a diferentes tipos de contenido que requieren diferentes configuraciones de retención. Por ejemplo, puede configurar el inicio del período de retención desde el momento en que se creó, modificó por última vez el contenido, se etiquetó o cuando se produjo un evento para un tipo de evento determinado. Además, puede usar descriptores de plan de archivos para mejorar la capacidad de administración de estas etiquetas de retención.

Puntuación de seguridad

Puntuación de seguridad de Microsoft es una solución de análisis de seguridad que le permite ver su cartera de seguridad y conocer cómo mejorarla. Con una sola puntuación, puede comprender mejor lo que hizo para reducir el riesgo en las soluciones de Microsoft. También puede comparar su puntuación con otras organizaciones y ver las tendencias de su puntuación con el paso del tiempo. Las entidades secureScore y secureScoreControlProfile de seguridad de Microsoft Graph le ayudan a equilibrar las necesidades de seguridad y productividad de su organización, al tiempo que habilita la combinación adecuada de características de seguridad. También puede proyectar cuál sería su puntuación después de adoptar características de seguridad.

Inteligencia sobre amenazas

Inteligencia contra amenazas de Microsoft Defender ofrece inteligencia sobre amenazas de primera clase para ayudar a proteger su organización frente a las ciberamenazas modernas. Puede usar Inteligencia sobre amenazas para identificar adversarios y sus operaciones, acelerar la detección y corrección, y mejorar sus inversiones y flujos de trabajo de seguridad.

Las API de inteligencia sobre amenazas permiten poner en funcionamiento la inteligencia que se encuentra en la interfaz de usuario. Esto incluye inteligencia finalizada en las formas de artículos y perfiles de intel, inteligencia de máquinas, como ioCs y veredictos de reputación, y datos de enriquecimiento, como DNS pasivo, cookies, componentes y rastreadores.

Casos de uso comunes

A continuación se muestran algunas de las solicitudes más populares para trabajar con la API de seguridad de Microsoft Graph.

Casos de uso	Recursos de REST	Probar en el Probador de Graph
Actualizar perfiles de control de puntuación de seguridad	Actualizar secureScoreControlProfile	https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles/{id}
Alertas e incidentes
Lista de alertas	List alerts	https://graph.microsoft.com/v1.0/security/alerts_v2
Actualizar alerta	Update alert	https://graph.microsoft.com/v1.0/security/alerts/{id}
Lista de Incidentes	Lista de Incidentes	https://graph.microsoft.com/v1.0/security/incidents
Enumerar incidentes con alertas	Lista de Incidentes	https://graph.microsoft.com/v1.0/security/incidents?$expand=alerts
Incidente de actualización	Incidente de actualización	https://graph.microsoft.com/v1.0/security/incidents/{id}
eDiscovery
Enumerar casos de eDiscovery	Enumerar eDiscoveryCases	https://graph.microsoft.com/v1.0/security/cases/eDiscoveryCases
Enumerar operaciones de casos de eDiscovery	Enumerar caseOperations	https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{id}/operations
Alertas heredadas
Lista de alertas	List alerts	https://graph.microsoft.com/v1.0/security/alerts
Actualizar alertas	Update alert	https://graph.microsoft.com/v1.0/security/alerts/{alert-id}
Puntuaciones de seguridad
Enumerar Puntuaciones de seguridad	Enumerar secureScores	https://graph.microsoft.com/v1.0/security/secureScores
Obtener puntuación segura	Obtener secureScore	https://graph.microsoft.com/v1.0/security/secureScores/{id}
Enumerar perfiles de control de puntuación segura	Enumerar secureScoreControlProfiles	https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles
Obtener perfil de control de puntuación segura	Obtener secureScoreControlProfile	https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles/{id}

Puede usar webhooks de Microsoft Graph para suscribirse y recibir notificaciones sobre las actualizaciones de las entidades de seguridad de Microsoft Graph.

Recursos

Code y contribuya a estos ejemplos de API de seguridad de Microsoft Graph:

• Ejemplo de ASP.NET (C#)
• Ejemplo de Python
• Ejemplo de Node.js (JavaScript)

Interactúe con la comunidad:

• Únase a Tech Community
• Comente en Stack Overflow

Pasos siguientes

La API de seguridad de Microsoft Graph puede abrir nuevas formas de interactuar con diferentes soluciones de seguridad de Microsoft y asociados. Para empezar, siga estos pasos:

• Explore en profundidad alerts, secureScore y secureScoreControlProfiles.
• Pruebe la API en el Probador de Graph. En Consultas de ejemplo, seleccione mostrar más ejemplos y active la categoría Seguridad.
• Pruebe a suscribirse y recibir notificaciones sobre cambios en entidades.

Contenido relacionado

Code y contribuya a este ejemplo de API de seguridad de Microsoft Graph:

• Ejemplo de PowerShell

Explore otras opciones para conectarse con la API de seguridad de Microsoft Graph:

• Conectores de seguridad de Microsoft Graph para Logic Apps, Flow y Power Apps
• Ejemplos de Jupyter Notebook

Interactúe con la comunidad:

• Únase a Tech Community
• Comente en Stack Overflow