Microsoft Graph セキュリティ API との提携 – テクノロジ パートナーの機会

この記事では、Microsoft Graph Security API によって有効になっているパートナーの機会について説明し、製品管理者とビジネス開発の役割が投資経路を理解し、パートナー価値提案に関する洞察を提供するように設計されています。

背景

ほとんどの組織では、セキュリティ データの量が多く、企業内に数十のセキュリティ ソリューションが用意されています。さまざまな製品やサービスを統合する作業は困難で複雑です。 これらの課題は、急速に動く破壊的な攻撃の世界で脅威を検出して修復する際に、組織が迅速に動く能力を妨げる。

テクノロジ パートナーは、Microsoft Graphセキュリティ API を使用して Microsoft プラットフォームと統合して、これらの顧客の課題に対処できます。

Microsoft Graph セキュリティ API の概要

Microsoft Graph Security API は複数のソースからのセキュリティ アラートと脅威インテリジェンスを統合し、アラートとデータにコンテキスト情報を与え、セキュリティ操作を自動化するための、標準インターフェイスと統一スキームを提供する統合型 API です。

セキュリティ API は、Microsoft Graph の一部です。Microsoft Graph は、Microsoft およびパートナーの製品やサービスからのデータとインテリジェンスを統合するための統合 REST API です。 Microsoft Graph を使用すれば、お客様およびパートナーは一回の認証をするソリューションを迅速に構築し、単一の API 呼び出しを使用して複数のセキュリティ ソリューションからのセキュリティ関する洞察にアクセスしたり、それらに対応したりすることができます。 他のMicrosoft Graphエンティティ (Microsoft 365、Azure Active Directory、Intune など) を探索して、ビジネス コンテキストとセキュリティインサイトを結び付け、追加の値が明らかになります。

Microsoft では、2 つの主要な方法でテクノロジ パートナーの統合を有効にしています。

  1. Microsoft Graph の情報のコンシューマーとして、Microsoft Graph に含まれる情報を使用してソリューションを強化し、Microsoft Graph API を使用して顧客に代わってタスクを実行できます。
  2. また、Microsoft プロバイダーと一緒に Microsoft Graphアクションを提供することもできます。
統合の方法 利用可能なデータ サポートされる機能
アプリケーションを Microsoft Graphセキュリティ API に統合します。
  • Microsoft Graph セキュリティ プロバイダーからの通知
  • Microsoft からのセキュリティで保護されたスコア
  • クエリ 通知/セキュリティで保護されたスコア
  • Microsoft のセキュリティ アクションGraph呼び出す
  • Microsoft Graph セキュリティアラートを更新する
  • アップロードMicrosoft への顧客の脅威インジケーター
  • Microsoft Graphセキュリティ API を使用して他のユーザーが製品と統合できます。
  • セキュリティ製品からの通知
  • セキュリティ製品のセキュリティ アクション
  • もう少し深く掘り下げ、Microsoft Graph Security API 統合によってセキュリティ統合投資が拡大される一般的なシナリオと、一緒に達成できるお客様のメリットについて説明します。

    Microsoft セキュリティ API と統合することで派生できる 3 つの主なGraphを次に示します。

    1. お客様は、セキュリティの有効性と運用の改善の恩恵を受ける。
    2. お客様は、お客様や他の統合パートナー製品によって提供される豊富な情報の恩恵を受けるのです。
    3. テクノロジ パートナー向けエンジニアリング投資は簡素化され、Microsoft Graph セキュリティ API との統合によって顧客価値が拡大されます。

    Microsoft Graph セキュリティ API を使用して脅威保護を強化する

    脅威の検出と対応を通知するセキュリティ アラートの統合を容易にします。

    • Microsoft Graph セキュリティ プロバイダーからのアラート/検出を検出と関連付け、調査結果を改善し、自動化をサポートします。
    • 脅威への対応を改善するために、Microsoft Graph経由で検出とコンテキストにアクセスします。トリアージ、調査、修復。
    • 悪意のあるアクティビティをブロック/通知するために、顧客の脅威インテリジェンス (ハッシュ、IP、URL、ドメインなど) にアクセスします。

    IT とセキュリティ管理を合理化する

    インシデント ライフサイクルの可視性を高め、管理を合理化します。

    • 複数のプロバイダーからのアラートを集約してインシデントを作成します。
    • 追加のコンテキストにアクセスして、アラートの事前設定と応答を通知します。
    • アラートを管理するシステム間でアラートの状態を同期します。
    • セキュリティの態勢を可視化し、Secure Scores を使用してセキュリティを向上させる方法に関する推奨事項を取得します。

    カスタム検出を有効にする脅威インテリジェンスの共有

    脅威インテリジェンスを活用して、Microsoft ソリューションのカスタム検出に電力を供給します。

    • アラート、ブロック、または許可アクションを有効にするには、脅威インジケーターを Microsoft セキュリティ ソリューションに自動的に送信します。
    • セキュリティ ツールやワークフロー内のブロック ファイル、URL、ドメイン、IP アドレスなど、新しい脅威から防御するための迅速なアクションを有効にしてください。
    • 顧客が提供する TI は、供給する顧客にのみ使用され、他の Microsoft のお客様には使用されません。

    技術統合の概要

    Microsoft Graphセキュリティ API パートナーの機会は、独立して、または一緒に使用できる 2 つの主要な統合パスを介して利用できます。 ここでは、高レベルの要件の概要を説明し、これらのパスへの投資について考える方法についていくつかの洞察を提供しますが、詳細な技術的な説明は、このドキュメントで後で参照されるドキュメントに残されています。

    サポートされているエンティティ:

    • アラート は、生のログ データや他の無関係な情報ではなく、「セキュリティに影響を与える結論」です。 詳細情報 を参照してください。
    • 脅威インジケーター(侵害または IoC の指標とも呼ばれます) は、悪意のあるファイル、URL、ドメイン、IP アドレスなどの既知の脅威に関するデータを表します。 お客様は、内部の脅威インテリジェンス収集を通じてインジケーターを生成したり、脅威インテリジェンス コミュニティ、ライセンスフィード、その他のソースからインジケーターを取得することができます。 詳細情報 を参照してください。
    • セキュリティ アクションを 使用すると、テクノロジ パートナーは、セキュリティ パートナーを介して機能機能を公開Graph。 たとえば、セキュリティ ソリューションが IP アドレスをブロックする機能をサポートしている場合は、"Block IP" をアプリケーションの機能として公開Graph。 その他Graphセキュリティ API 製品は、ユーザーのアクションを呼び出Graph。 詳細情報 を参照してください。
    • Secure Score... 詳細情報 を参照してください。

    アプリケーションを Microsoft Graph セキュリティ API と統合する

    すべての統合アプリケーションは、Microsoftアプリケーションに登録するGraph。 1 人の顧客が使用するアプリケーションと、多くの顧客 (マルチテナント) で使用されるアプリケーションの両方がサポートされます。 いずれの場合も、お客様はアプリケーションに同意する必要があります。 Microsoft Graphを呼び出す場合、アプリケーションからの各要求には、アプリケーション識別子と代理で呼び出す顧客が含まれる。 次の種類の要求がサポートされています。

    • アラートの取得 – 必要に応じてフィルター処理を使用してアラート情報を取得します。 たとえば、優先度の高いアラート、または特定のユーザー、ホストなどの "すべての優先度の高いアラート" を表示します。
    • [アラートの状態の更新 ] – アラートライフサイクルの管理を有効にします。 たとえば、アラートの状態を "進行中" から "解決済み" に設定するか、アラートにコメントを追加します。
    • Get Secure Score – Microsoft Secure Score は、Microsoft 製品のセキュリティ構成の "信用度" タイプの値です。
    • サブスクライブ - アラートまたはクエリに対する変更の通知を許可します。
    • カスタム脅威インジケーターのフィード - 脅威インジケーターを Microsoft セキュリティ ソリューションに自動的に送信して、アラート、ブロック、または許可アクションを有効にできます。 Microsoft Graphセキュリティ API を直接使用するか、主要な脅威インテリジェンス プラットフォームとの統合を活用します。
    • Microsoft Graph セキュリティ アクションを呼 び出す – Microsoft セキュリティ セキュリティアクション エンティティを使用して脅威からGraph対策を 実行します。

    Microsoft Graph セキュリティ API を使用して他のユーザーが製品と統合できる

    Microsoft Graph セキュリティ プロバイダーは、Microsoft サービスを通じて他のユーザーがセキュリティアラートをGraph。 セキュリティアラートを生成する Microsoft 製品には、すべて Microsoft ユーザーに対してそれぞれの通知を公開するプロバイダー Graph。 さらに、Microsoft Graph セキュリティ API を使用すると、外部プロバイダーを使用して、Microsoft テクノロジ パートナーとして、お客様が使用する Microsoft Graph のアプリケーションから関連するセキュリティアラートを共有できます。 Microsoft Graph SecurityActions は、アラートに加えて、Microsoft セキュリティ パートナーが Microsoft セキュリティ サービスを介して機能機能を公開Graph。 たとえば、セキュリティ ソリューションが IP アドレスをブロックする機能をサポートしている場合は、"Block IP" を Microsoft クライアントの機能として公開Graph。 その他の Microsoft Graphセキュリティ製品は、Microsoft サービス経由でアクションを呼び出Graph。

    Microsoft Graph セキュリティ プロバイダーは、基本的には、Microsoft Graph Security API からの要求に応答し、関連するセキュリティ アラートを返したり、相互のお客様に対してアクションを実行したりするクラウド エンドポイントです。 顧客とサービス間の認証により、顧客の警告とアクションへのアクセスがセキュリティで保護されます。

    プロバイダーのシナリオは大きく異なります。 適切なオンボーディング プロセスは、関連するシナリオの特定から始まります。 シナリオに同意すると、ドキュメント、サンプル コード、および開発環境を利用して、Microsoft Graph セキュリティ プロバイダーの開発をサポートできます。

    開始する

    オンボーディング ガイドとテクニカル ドキュメント

    サンプル コード

    ヘルプとサポート

    • Microsoft Graph Security API とのアプリケーションまたはサービスまたは製品の統合に関する質問がある場合は、Microsoft Security Graph API の技術コミュニティに問い合わせください
    • Microsoft Q&A の &に従って、microsoft-graph-security というタグを使用します。
    • サンプルまたはドキュメントの要求またはバグ ファイルの問題で、それぞれのサンプル リポジトリにバグが 見つかった場合
    • 1 つのサンプルにスコープが設定されていない新しいサンプル要求または問題がある場合は、Microsoft Graph セキュリティ ソリューション リポジトリのファイルの問題です。

    市場に出る