Microsoft Graph Security API を使用するUse the Microsoft Graph Security API

重要

Microsoft Graph の/betaバージョンの api は変更される可能性があります。APIs under the /beta version in Microsoft Graph are subject to change. 実稼働アプリケーションでは、これらの API の使用はサポートされていません。Use of these APIs in production applications is not supported.

Microsoft Graph Security API には、Microsoft とエコシステム パートナーのセキュリティ ソリューションを統合するための統一されたインターフェイスとスキーマが備わっています。The Microsoft Graph Security API provides a unified interface and schema to integrate with security solutions from Microsoft and ecosystem partners. これにより、お客様は、増加するサイバー脅威に対するセキュリティ操作と優れた防御を効率的に行うことができます。This empowers customers to streamline security operations and better defend against increasing cyber threats. Microsoft Graph Security API は、すべての稼働中のセキュリティ プロバイダーへのクエリを統合し対応を集計します。The Microsoft Graph Security API federates queries to all onboarded security providers and aggregates responses. Microsoft Graph Security API を使用して以下の処理を行うアプリケーションを構築できます。Use the Microsoft Graph Security API to build applications that:

  • 複数のソースからのセキュリティの警告を統合し、関連付けるConsolidate and correlate security alerts from multiple sources
  • コンテキスト データをロック解除し、調査について通知するUnlock contextual data to inform investigations
  • セキュリティ タスク、ビジネス プロセス、ワークフロー、レポート作成を自動化するAutomate security tasks, business processes, workflows, and reporting
  • Microsoft 製品に対してカスタマイズされた検出の脅威インジケーターを送信するSend threat indicators to Microsoft products for customized detections
  • 新たな脅威に対応するアクションを呼び出すInvoke actions to in response to new threats
  • 予防的なリスク管理を可能にするため、セキュリティ データを可視化するProvide visibility into security data to enable proactive risk management

Microsoft Graph Security API には以下の主要なエンティティが含まれています。The Microsoft Graph Security API includes the following key entities.

アラートAlerts

アラートは、Microsoft またはパートナーのセキュリティ ソリューションが識別し、アクションまたは通知のためのフラグが設定された、お客様のテナント内における潜在的なセキュリティ問題です。Alerts are potential security issues within a customer's tenant that Microsoft or partner security solutions have identified and flagged for action or notification. Microsoft Graph Security アラート エンティティを使用すると、統合されたすべてのソリューション内のセキュリティ問題の管理を統一して合理化できます。With the Microsoft Graph Security alerts entity, you can unify and streamline management of security issues across all integrated solutions. これにより、アプリケーション側でも、アラートとコンテキストを関連付け、脅威保護や対応能力を向上できます。This also enables applications to correlate alerts and context to improve threat protection and response. アラート更新機能を利用すると、アラート エンティティを更新することによって Microsoft Graph Security API に統合される各種セキュリティ製品とサービスにおいて特定のアラート状態を同期できます。With the alert update capability, you can sync the status of specific alerts across different security products and services that are integrated with the Microsoft Graph Security API by updating your alerts entity.

次のプロバイダーからのアラートは、Microsoft Graph Security API を使って利用できます。Alerts from the following providers are available via the Microsoft Graph Security API. GET アラート、PATCH アラート (更新プログラムは Microsoft Graph Security API で利用できますが、プロバイダーの管理操作環境では公開されない)、サブスクライブ (webhooks 経由) のサポート状況を次の表に示します。Support for GET alerts, PATCH alerts (updates are available via the Microsoft Graph Security API but might not be exposed in the provider’s management experience), and Subscribe (via webhooks) is indicated in the following table.

セキュリティ プロバイダーSecurity provider

GET アラートGET alert

PATCH アラートPATCH alert

アラートへのサブスクライブSubscribe to alert

Azure Security CenterAzure Security Center

Azure Active Directory Identity ProtectionAzure Active Directory Identity Protection

Microsoft Cloud App SecurityMicrosoft Cloud App Security

Microsoft Defender Advanced Threat Protection *Microsoft Advanced Threat Protection

ファイルの問題File issue

Azure Advanced Threat Protection **Azure Advanced Threat Protection

Office 365Office 365

ファイルの問題File issue

ファイルの問題File issue

Azure Information Protection (プレビュー)Azure Information Protection (preview)

Azure Sentinel (プレビュー)Azure Sentinel (preview)

Palo Alto NetworksPalo Alto Networks

ファイルの問題File issue

ファイルの問題File issue

注: Microsoft Graph Security エコシステムに新しいプロバイダーが継続的に加わっています。Note: New providers are continuously onboarding to the Microsoft Graph Security ecosystem. 新しいプロバイダーにサポートを要請したり、既存のプロバイダーからのサポートを拡張したりするよう要請するには、Microsoft Graph セキュリティ GitHub リポジトリに問題についてのファイルを登録します。To request new providers or for extended support from existing providers, file an issue in the Microsoft Graph Security GitHub repo.

* Windows Defender Advanced Threat Protection (WDATP) では、Microsoft Graph セキュリティ API で要求される以上の追加の ユーザー ロール を要求します。従って、WDATP および Microsoft Graph セキュリティ API のロールの両方であるユーザーのみが WDATP のデータへのアクセス権を与えられます。* Windows Defender Advanced Threat Protection (WDATP) requires additional user roles than what is required by the Microsoft Graph Security API; therefore, only the users in both WDATP and Microsoft Graph Security API roles can have access to the WDATP data. アプリケーションのみの認証では、この制限を受けませんので、アプリ専用の認証トークンを使用するようお勧めします。Application-only authentication is not limited by this; therefore, we recommend that you use an app-only authentication token.

** Microsoft Cloud App Security 統合を介して Azure Advanced Threat Protection アラートを利用できます。** Azure Advanced Threat Protection alerts are available via the Microsoft Cloud App Security integration. つまり、統合された SecOps プレビュー プログラムに参加済みで、Azure Advanced Threat Protection が Microsoft Cloud App Security に接続されている場合のみ、Azure Advanced Threat Protection アラートを取得できます。This means you will get Azure Advanced Threat Protection alerts only if you have joined the Unified SecOps preview program and connected Azure Advanced Threat Protection into Microsoft Cloud App Security.

脅威インジケーター (プレビュー)Threat indicators (preview)

脅威インジケーター (侵害のインジケーター (IoCs) とも呼ばれる) は、悪意のあるファイル、URL、ドメイン、IP アドレスなどの、既知の脅威に関するデータを表します。Threat indicators, also referred to as indicators of compromise (IoCs), represent data about known threats, such as malicious files, URLs, domains, and IP addresses. お客様は、内部のさまざまな脅威インテリジェンスからインジケーターを作成したり、脅威インテリジェンス コミュニティ、ライセンスを取得したフィード、およびその他のソースからインジケーターを取得したりすることができます。Customers can generate indicators through internal threat intelligence gathering or acquire indicators from threat intelligence communities, licensed feeds, and other sources. これらのインジケーターは、関連する脅威から保護するためにさまざまなセキュリティ ツールで使用されます。These indicators are then used in various security tools to defend against related threats.

Microsoft Graph セキュリティ tiIndicators エンティティにより、脅威インジケーターを Microsoft のセキュリティ ソリューションにフィードし、悪意のある活動をブロックしたり警告するようにしたり、組織に関連しないと判断されるインジケーターに対するアクションを行わないようにしたりできます。The Microsoft Graph Security tiIndicators entity allows customers to feed threat indicators to Microsoft security solutions to enable block and alert actions on malicious activity or allow, which suppresses actions for indicators determined not to be relevant to an organization. インジケーターを送信する際は、インジケーターを利用する Microsoft のソリューションとそのインジケーターに対して実行されるアクションの両方が指定されます。When sending indicators, both the Microsoft solution that will utilize the indicator and the action to be taken on that indicator are specified.

tiIndicator エンティティをアプリケーションに統合するか、次の統合された脅威インテリジェンス プラットフォーム (TIP) のいずれかを使用できます。You can integrate the tiIndicator entity into your application or use one of the following integrated threat intelligence platforms (TIP):

Microsoft Graph Security API 経由で送信された脅威インジケーターは現時点で、Azure Sentinel (プレビュー) で利用でき、脅威インジケーターをログ データを関連付けて悪意のあるアクティビティについてのアラートを取得できます。Threat indicators sent via the Microsoft Graph Security API are available today in Azure Sentinel (preview), enabling you to correlate threat indicators with log data to get alerts on malicious activity. Azure Firewall などの他の Microsoft のセキュリティ サービスのサポートは間もなく提供されます。Support in other Microsoft security services, in including Azure Firewall, will be available soon.

セキュリティ アクション (プレビュー)Security Actions (preview)

Microsoft Graph のセキュリティの securityAction エンティティを使用して、脅威から保護するためのアクションをただちに実行します。Take immediate action to defend against threats using the Microsoft Graph Security securityAction entity. セキュリティ アナリストが、悪意のあるファイル、URL、ドメイン、IP アドレスなどの新しいインジケーターを発見した場合、Microsoft のセキュリティ ソリューションでそれらに対する保護をすぐに有効にできます。When a security analyst discovers a new indicator, such as a malicious file, URL, domain, or IP address, protection can be instantly enabled in your Microsoft security solutions. 特定のプロバイダーのアクションを呼び出し、実行されるすべての操作を表示し、必要な場合は操作を取り消します。Invoke an action for a specific provider, see all actions taken, and cancel an action if needed. Windows Defender ATP でセキュリティ アクションを実行し、アラートに表示されるプロパティまたは調査中に特定されるプロパティを使用して Windows のエンドポイントの悪意のあるアクティビティをブロックします。Try security actions with Windows Defender ATP to block malicious activity on your Windows endpoints using properties seen in alerts or identified during investigations.

注: 現在、セキュリティ アクションでサポートされているのは、アプリケーションのアクセス許可のみです。Note: Currently security actions only support application permissions.

セキュリティ スコアSecure Score

Microsoft セキュア スコアは、セキュリティ ポートフォリオを可視化し、その方法を向上させるためのセキュリティ分析ソリューションです。Microsoft Secure Score is a security analytics solution that gives you visibility into your security portfolio and how to improve it. 単一のスコアを使用することによって、Microsoft ソリューションにおいてリスクを軽減するために実行した事柄についてより良く把握できます。With a single score, you can better understand what you have done to reduce your risk in Microsoft solutions. また、自分のスコアを他の組織のスコアと比較したり、スコアが時間とともにどのように変化する傾向があるかも理解できます。You can also compare your score with other organizations and see how your score has been trending over time. Microsoft Graph Security secureScoresecureScoreControlProfile のエンティティは、ほぼ最大限のセキュリティ機能を確保しながら、組織のセキュリティと生産性のニーズに関して平衡を保つのに役立ちます。The Microsoft Graph Security secureScore and secureScoreControlProfile entities help you balance your organization's security and productivity needs while enabling the appropriate mix of security features. また、セキュリティ機能を採用した後にスコアがどのように変化するかも予想できます。You can also project what your score would be after you adopt security features.

一般的なユース ケースCommon use cases

Microsoft Graph Security API の操作で最も一般的な要求の一部を以下に取り上げます。The following are some of the most popular requests for working with the Microsoft Graph Security API.

ユース ケースUse cases REST リソースREST resources Graph エクスプローラーで試すTry it in Graph Explorer
アラートを一覧表示するList alerts アラートの一覧表示List alerts https://graph.microsoft.com/beta/security/alerts
アラートを更新するUpdate alerts 警告の更新Update alert
複数のアラートを更新するUpdate multiple alerts
https://graph.microsoft.com/beta/security/alerts/{alert-id}
https://graph.microsoft.com/beta/security/alerts/updateAlerts
セキュリティ アクションを取得するGet security action セキュリティ アクションを取得する (プレビュー)Get security action (preview) https://graph.microsoft.com/beta/security/securityActions/{id}
セキュリティ アクションを一覧表示するList security actions セキュリティ アクションを一覧表示する (プレビュー)List security actions (preview) https://graph.microsoft.com/beta/security/securityActions
セキュリティ アクションを作成するCreate security actions セキュリティ アクションを作成する (プレビュー)Create security actions (preview) https://graph.microsoft.com/beta/security/securityActions
セキュリティ アクションをキャンセルするCancel security action セキュリティ アクションをキャンセルする (プレビュー)Cancel security actions (preview) https://graph.microsoft.com/beta/security/securityActions/{id}/cancelSecurityAction
TI インジケーターを取得するGet TI indicator tiIndicator を取得する (プレビュー)Get tiIndicator (preview) https://graph.microsoft.com/beta/security/tiIndicators/{id}
TI インジケーターを一覧表示するList TI Indicators TI インジケーターを一覧表示する (プレビュー)List tiIndicators (preview) https://graph.microsoft.com/beta/security/tiIndicators
TI インジケーターを作成するCreate TI Indicator TI インジケーターを作成する (プレビュー)Create tiIndicator (preview) https://graph.microsoft.com/beta/security/tiIndicators
TI インジケーターを送信するSubmit TI Indicators TI インジケーターを送信する (プレビュー)Submit tiIndicators (preview) https://graph.microsoft.com/beta/security/tiIndicators/submitTiIndicators
TI インジケーターを更新するUpdate TI Indicators tiIndicator を更新する (プレビュー)Update tiIndicator (preview)
複数の tiIndicator を更新する (プレビュー)Update multiple tiIndicators (preview)
https://graph.microsoft.com/beta/security/tiIndicators/{id}
https://graph.microsoft.com/beta/security/tiIndicators/updateTiIndicators
TI インジケーターを削除するDelete TI Indicators tiIndicator を削除する (プレビュー)Delete tiIndicator (preview)
複数の tiIndicator を削除する (プレビュー)Delete multiple tiIndicators (preview)
externalId で tiIndicator を削除する (プレビュー)Delete tiIndicator by externalId (preview)
DELETEDELETE
https://graph.microsoft.com/beta/security/tiIndicators/{id}
POSTPOST
https://graph.microsoft.com/beta/security/tiIndicators/deleteTiIndicators
POSTPOST
https://graph.microsoft.com/beta/security/tiIndicators/deleteTiIndicatorsByExternalId
セキュリティ スコアを一覧表示するList secure scores secureScores のリストList secureScores https://graph.microsoft.com/beta/security/secureScores
セキュリティ スコアの制御プロファイルを一覧表示するList secure score control profiles secureScoreControlProfiles のリストList secureScoreControlProfiles https://graph.microsoft.com/beta/security/secureScoreControlProfiles
セキュア スコア制御プロファイルを更新するUpdate secure score control profiles secureScoreControlProfiles の更新Update secureScoreControlProfiles https://graph.microsoft.com/beta/security/secureScoreControlProfiles/{id}

Microsoft Graph webhook を使用すると、Microsoft Graph Security API エンティティの更新に関する通知をサブスクライブして受信できます。You can use Microsoft Graph webhooks to subscribe to and receive notifications about updates to Microsoft Graph Security API entities.

次のステップNext steps

Microsoft Graph Security API は、Microsoft およびパートナーの各種セキュリティ ソリューションを活用するための新しい手段となります。The Microsoft Graph Security API can open up new ways for you to engage with different security solutions from Microsoft and partners. 以下の手順に従って開始しましょう。Follow these steps to get started:

さらに情報が必要な場合「パートナーによる Microsoft Graph の活用方法」を参照してください。Need more ideas? See how some of our partners are using Microsoft Graph.

関連項目See also

以下の Microsoft Graph Security API サンプルに、コードを作成して投稿しますCode and contribute to these Microsoft Graph Security API samples:

Microsoft Graph Security API に接続するその他のオプション調べます。Explore other options to connect with the Microsoft Graph Security API:

以下のコミュニティに参加できます。Engage with the community: