Esplorare Microsoft Security Graph

  • 10 minuti

Microsoft Graph fornisce un modello di programmabilità unificato che è possibile usare per ai dati in Microsoft 365, Windows e Enterprise Mobility + Security. È possibile usare i dati in Microsoft Graph per creare app personalizzate per l'organizzazione.

Microsoft API Graph offre un singolo endpoint (https://graph.microsoft.com versione 1.0 o beta). È possibile usare le API REST o gli SDK per accedere all'endpoint e creare app che supportano gli scenari Microsoft 365. Microsoft Graph include anche un importante set di servizi che gestiscono l'identità di utenti e dispositivi, l'accesso, la conformità, la sicurezza e consentono di proteggere le organizzazioni dalla perdita di dati.

Che cos'è in Microsoft Graph?

Microsoft Graph espone le API REST e le librerie client per accedere ai dati nei servizi cloud Microsoft seguenti:

  • Servizi principali di Microsoft 365: Bookings, Calendar, Delve, Excel, Microsoft Purview eDiscovery, Microsoft Search, OneDrive, OneNote, Outlook/Exchange, Persone (contatti di Outlook), Planner, SharePoint, Teams, To Do, Viva Insights
  • Servizi Enterprise Mobility + Security: Advanced Threat Analytics, Advanced Threat Protection, Microsoft Entra ID, Identity Manager, e Intune
  • Servizi Windows: attività, dispositivi, notifiche, stampa universale
  • Servizi di Dynamics 365 Business Central

API Microsoft Graph Security

L'API Sicurezza di Microsoft Graph è un servizio intermedio, o broker, che fornisce una singola interfaccia programmatica per connettere più provider di sicurezza di Microsoft Graph, detti anche provider o provider di sicurezza. Le richieste all'API di sicurezza di Microsoft Graph vengono federate a tutti i provider di sicurezza applicabili. I risultati vengono aggregati e restituiti all'applicazione richiedente in uno schema comune, come illustrato nel diagramma seguente.

Diagram showing the Microsoft Security Graph architecture.

Gli sviluppatori possono utilizzare Security Graph per creare servizi di sicurezza intelligente che:

  • Integrano e correlano gli avvisi di sicurezza provenienti da più origini.
  • Trasmettere avvisi alle soluzioni SIEM (Security Information and Event Management)
  • Inviare automaticamente indicatori di minaccia alle soluzioni di sicurezza Microsoft per abilitare azioni di avviso, blocco o consenso.
  • Sbloccano i dati contestuali per informare le indagini.
  • Scoprire le opportunità di imparare dai dati ed eseguire il training delle soluzioni di sicurezza.
  • Automatizzano secOps per una maggiore efficienza.

Usare le API Microsoft Graph Security

Sono disponibili due versioni dell'API Sicurezza di Microsoft Graph.

  • API REST Microsoft Graph v1.0
  • API REST Microsoft Graph Beta

La versione beta fornisce API nuove o avanzate ancora in stato di anteprima. Le API nello stato di anteprima sono soggette a modifiche e possono interrompere gli scenari esistenti senza preavviso.

Per gli analisti delle operazioni per la sicurezza, entrambe le versioni di Microsoft API Graph supportano la ricerca avanzata usando il metodo runHuntingQuery. Questo metodo include una query in Linguaggio di query Kusto (KQL).

  • Esempio di ricerca avanzata in Microsoft Defender XDR:

    POST https://graph.microsoft.com/v1.0/security/runHuntingQuery

{
    "Query": "DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2"
}

È possibile usare Graph Explorer per eseguire la query di ricerca:

Screenshot of the Microsoft Graph Explorer running the KQL hunting query.

Altre informazioni: per altre informazioni, vedere l'API Sicurezza di Microsoft Graph.