フィードバック 編集

Microsoft Graph Security API を使用する

  • [アーティクル]

重要

Microsoft Graph のバージョンの /beta API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 API が v1.0 で使用できるかどうかを確認するには、 バージョン セレクターを使用します。

Microsoft Graph Security API には、Microsoft とエコシステム パートナーのセキュリティ ソリューションを統合するための統一されたインターフェイスとスキーマが備わっています。 これにより、お客様は、増加するサイバー脅威に対するセキュリティ操作と優れた防御を効率的に行うことができます。 Microsoft Graph Security API は、すべての稼働中のセキュリティ プロバイダーへのクエリを統合し対応を集計します。 Microsoft Graph Security API を使用して以下の処理を行うアプリケーションを構築できます。

  • 複数のソースからのセキュリティの警告を統合し、関連付ける
  • コンテキスト データをロック解除し、調査について通知する
  • セキュリティ タスク、ビジネス プロセス、ワークフロー、レポート作成を自動化する
  • Microsoft 製品に対してカスタマイズされた検出の脅威インジケーターを送信する
  • 新たな脅威に対応するアクションを呼び出す
  • 予防的なリスク管理を可能にするため、セキュリティ データを可視化する

Microsoft Graph Security API には以下の主要なエンティティが含まれています。

アクション (プレビュー)

Microsoft Graph のセキュリティの securityAction エンティティを使用して、脅威から保護するためのアクションをただちに実行します。 セキュリティ アナリストが、悪意のあるファイル、URL、ドメイン、IP アドレスなどの新しいインジケーターを発見した場合、Microsoft のセキュリティ ソリューションでそれらに対する保護をすぐに有効にできます。 特定のプロバイダーのアクションを呼び出し、実行されるすべての操作を表示し、必要な場合は操作を取り消します。 Microsoft Defender for Endpoint (旧 Microsoft Defender ATP) でセキュリティ アクションを実行し、アラートに表示されたプロパティまたは調査で特定されたプロパティを使用して Windows のエンドポイント上の悪意のあるアクティビティをブロックします。

注: 現在、セキュリティ アクションでサポートされているのは、アプリケーションのアクセス許可のみです。

アラート

アラートは、Microsoft またはパートナーのセキュリティ ソリューションが識別し、アクションまたは通知のためのフラグが設定された、お客様のテナント内における潜在的なセキュリティ問題です。 Microsoft Graph Security アラート エンティティを使用すると、統合されたすべてのソリューション内のセキュリティ問題の管理を統一して合理化できます。 これにより、アプリケーション側でも、アラートとコンテキストを関連付け、脅威保護や対応能力を向上できます。 アラート更新機能を利用すると、アラート エンティティを更新することによって Microsoft Graph Security API に統合される各種セキュリティ製品とサービスにおいて特定のアラート状態を同期できます。

次のプロバイダーからのアラートは、Microsoft Graph Security API を使って利用できます。 GET アラート、PATCH アラート、およびサブスクライブ (Webhook 経由) のサポートを次の表に示します。

セキュリティ プロバイダー

GET アラート

PATCH アラート

アラートへのサブスクライブ
Azure Security Center

Azure Active Directory Identity Protection

ファイルの問題 *

Microsoft Defender for Cloud Apps (旧 Microsoft Cloud App Security)

ファイルの問題 *

Microsoft Defender for Endpoint (旧 Microsoft Defender ATP) **

ファイルの問題

Microsoft Defender for Identity (旧 Azure Advanced Threat Protection) ***

ファイルの問題 *

Microsoft 365

ファイルの問題

ファイルの問題

Azure Information Protection (プレビュー)

ファイルの問題 *

Azure Sentinel (プレビュー)

Azure Sentinel でサポートされない

注: Microsoft Graph Security エコシステムに新しいプロバイダーが継続的に加わっています。 新しいプロバイダーにサポートを要請したり、既存のプロバイダーからのサポートを拡張したりするよう要請するには、Microsoft Graph セキュリティ GitHub リポジトリに問題についてのファイルを登録します。

* ファイルの問題: 警告状態は、Microsoft Graph Security API 統合アプリケーション全体で更新されますが、プロバイダーの管理エクスペリエンスには反映されません。

** Microsoft Defender for Endpoint では、Microsoft Graph Security API で要求されるもの以外に追加のユーザーの役割が要求されます。 Microsoft Defender for Endpoint および Microsoft Graph Security API の役割を持つユーザーのみが Microsoft Defender for Endpoint のデータにアクセスできます。 アプリケーション専用認証はこの制限を受けないため、アプリケーション専用認証トークンを使用することをお勧めします。

***Microsoft Defender for Identity のアラートは、Microsoft Cloud App Security の統合を介して利用できます。 つまり、統一された SecOps に参加し、Microsoft Defender for Identity を Microsoft Defender for Cloud Apps に接続している場合のみ、Microsoft Defender for Identity のアラートを受け取ることができるということです。 詳細については、「Microsoft Defender for Identity と Microsoft Defender for Cloud Apps を統合する方法」 を参照してください。

攻撃シミュレーションとトレーニング (プレビュー)

攻撃シミュレーションとトレーニングは、Microsoft Defender for Office 365 の一部です。 このサービスにより、テナントのユーザーは現実的な良性のフィッシング攻撃を体験し、そこから学ぶことができます。 エンド ユーザー向けのソーシャル エンジニアリング シミュレーションとトレーニングの経験は、これらの攻撃手法によってユーザーが侵害されるリスクを軽減するのに役立ちます。 攻撃シミュレーションとトレーニングの API を使用すると、テナント管理者は、起動されたシミュレーションの演習とトレーニングを表示し、フィッシング シミュレーションでのユーザーのオンライン行動に派生する分析情報に関するレポートを取得できます。

電子情報開示 (プレビュー)

Microsoft Purview 電子情報開示 (プレミアム) は、組織の内部および外部の調査と関連性のあるコンテンツを保管、収集、確認、分析、エクスポートするための、エンドツーエンドのワークフローを提供します。

情報保護

ラベル - 情報保護ラベルは、情報に秘密度ラベルを適切に適用する方法の詳細を示します。 情報保護ラベル API は、ユーザーやテナントに適用される秘密度ラベルの構成を記述します。

脅威の評価 - Microsoft Graph の脅威評価 API は、組織がテナント内のユーザーが受け取った脅威を評価するのに役立ちます。 これによりお客様は、受信した迷惑メール、フィッシング URL、マルウェアの添付ファイルを、 Microsoft に報告できるようになります。 Microsoft は、結果を生成する前に、問題のサンプルと実行中の組織ポリシーを確認して、テナント管理者が脅威スキャンの判断を理解し、組織ポリシーを調整できるようにします。 また、正当なメールを報告するために使用して、ブロックされないようにすることもできます。

メモ: 代わりに、脅威送信 API を使用することをお勧めします。

セキュア スコア

Microsoft セキュア スコアは、セキュリティ ポートフォリオを可視化し、その方法を向上させるためのセキュリティ分析ソリューションです。 単一のスコアを使用することによって、Microsoft ソリューションにおいてリスクを軽減するために実行した事柄についてより良く把握できます。 また、自分のスコアを他の組織のスコアと比較したり、スコアが時間とともにどのように変化する傾向があるかも理解できます。 Microsoft Graph Security secureScoresecureScoreControlProfile のエンティティは、ほぼ最大限のセキュリティ機能を確保しながら、組織のセキュリティと生産性のニーズに関して平衡を保つのに役立ちます。 また、セキュリティ機能を採用した後にスコアがどのように変化するかも予想できます。

脅威インテリジェンス インジケーター

脅威インジケーター (侵害のインジケーター (IoCs) とも呼ばれる) は、悪意のあるファイル、URL、ドメイン、IP アドレスなどの、既知の脅威に関するデータを表します。 お客様は、内部のさまざまな脅威インテリジェンスからインジケーターを作成したり、脅威インテリジェンス コミュニティ、ライセンスを取得したフィード、およびその他のソースからインジケーターを取得したりすることができます。 これらのインジケーターは、関連する脅威から保護するためにさまざまなセキュリティ ツールで使用されます。

Microsoft Graph セキュリティ tiIndicators エンティティにより、脅威インジケーターを Microsoft のセキュリティ ソリューションにフィードし、悪意のある活動をブロックしたり警告するようにしたり、組織に関連しないと判断されるインジケーターに対するアクションを行わないようにしたりできます。 インジケーターを送信する際は、インジケーターを利用する Microsoft のソリューションとそのインジケーターに対して実行されるアクションの両方が指定されます。

tiIndicator エンティティをアプリケーションに統合するか、次の統合された脅威インテリジェンス プラットフォーム (TIP) のいずれかを使用できます。

Microsoft Graph Security API 経由で送信される脅威インジケーターは、現在、次の製品で使用できます。

  • Azure Sentinel: 脅威インジケーターをログ データと関連付けて、悪意のあるアクティビティに対するアラートを発行できます。
  • Microsoft Defender for Endpoint – 悪意のあるアクティビティに関連する脅威インジケーターに対して警告やブロックができます。 また、自動化された調査からインジケーターを無視するためのインジケーターも使用できます。 サポートされているインジケーターの種類の詳細と、テナントごとのインジケーターのカウントに対する制限については、「インジケーターを管理する」を参照してください。

その他の Microsoft セキュリティ サービスでのサポートは、近日中に開始されます。

脅威の送信

Microsoft Graph 脅威 送信 API は、組織がテナント内の任意のユーザーが受信した脅威を送信するのに役立ちます。 これによりお客様は、受信した迷惑メール、フィッシング URL、マルウェアの添付ファイルを、 Microsoft に報告できるようになります。 Microsoft は、提出された内容を有効な組織のポリシーと照合し、分析のために人間の採点者に送信します。 その結果は、テナント管理者が脅威スキャンの判断を理解し、組織のポリシーを調整するのに役立ちます。 管理者は、結果を使用して正当なメールを報告し、ブロックされないようにすることもできます。

**注: ** 非推奨の Information Protection 脅威評価 API の代わりにこの API を使用することをお勧めします。 脅威送信 API は、統合されたセキュリティ脅威送信機能を提供し、統合された結果のサポート、ユーザー送信クエリのサポート、テナント許可ブロックリストのサポート、管理者レビューのサポート、およびアプリのみのモードのサポートを追加します。

一般的なユース ケース

Microsoft Graph Security API の操作で最も一般的な要求の一部を以下に取り上げます。

ユース ケース REST リソース Graph エクスプローラーで試す
アクション (プレビュー)
セキュリティ アクションを取得する セキュリティ アクションを取得する https://graph.microsoft.com/beta/security/securityActions/{id}
セキュリティ アクションを一覧表示する セキュリティ アクションを一覧表示する https://graph.microsoft.com/beta/security/securityActions
セキュリティ アクションを作成する セキュリティ アクションを作成する https://graph.microsoft.com/beta/security/securityActions
セキュリティ アクションをキャンセルする セキュリティ アクションをキャンセルする https://graph.microsoft.com/beta/security/securityActions/{id}/cancelSecurityAction
アラート
アラートを一覧表示する アラートの一覧表示 https://graph.microsoft.com/beta/security/alerts
アラートを更新する 警告の更新
複数のアラートを更新する		 https://graph.microsoft.com/beta/security/alerts/{alert-id}
https://graph.microsoft.com/beta/security/alerts/updateAlerts
攻撃シミュレーションとトレーニング (プレビュー)
シミュレーションの一覧表示 シミュレーションの一覧表示 https://graph.microsoft.com/beta/security/attackSimulation/simulations
シミュレーションの概要レポートを取得する シミュレーションの概要レポートを取得する https://graph.microsoft.com/beta/security/attackSimulation/simulations/{id}/report/overview
シミュレーション ユーザー レポートの一覧表示 シミュレーション ユーザー レポートの一覧表示 https://graph.microsoft.com/beta/security/attackSimulation/simulations/{id}/report/simulationUsers
電子情報開示
電子情報開示ケースを一覧表示する eDiscoveryCases を一覧表示する https://graph.microsoft.com/beta/security/cases/eDiscoveryCases
電子情報開示ケースの操作を一覧表示する caseOperations を一覧表示する https://graph.microsoft.com/beta/security/cases/eDiscoverycases/{id}/operations
セキュリティ スコア
セキュリティ スコアを一覧表示する secureScores のリスト https://graph.microsoft.com/beta/security/secureScores
セキュア スコア制御プロファイル
セキュリティ スコアの制御プロファイルを一覧表示する secureScoreControlProfiles のリスト https://graph.microsoft.com/beta/security/secureScoreControlProfiles
セキュア スコア制御プロファイルを更新する secureScoreControlProfiles の更新 https://graph.microsoft.com/beta/security/secureScoreControlProfiles/{id}
脅威インテリジェンス インジケーター (プレビュー)
TI インジケーターを取得する TI インジケーターを取得する https://graph.microsoft.com/beta/security/tiIndicators/{id}
TI インジケーターを一覧表示する TI インジケーターを一覧表示する https://graph.microsoft.com/beta/security/tiIndicators
TI インジケーターを作成する TI インジケーターを作成する https://graph.microsoft.com/beta/security/tiIndicators
TI インジケーターを送信する TI インジケーターを送信する https://graph.microsoft.com/beta/security/tiIndicators/submitTiIndicators
TI インジケーターを更新する TI インジケーターを更新する
複数の TI インジケーターを更新する		 https://graph.microsoft.com/beta/security/tiIndicators/{id}
https://graph.microsoft.com/beta/security/tiIndicators/updateTiIndicators
TI インジケーターを削除する TI インジケーターを削除する
複数の TI インジケーターを削除する
externalId による TI インジケーターの削除		 DELETE
https://graph.microsoft.com/beta/security/tiIndicators/{id}
POST
https://graph.microsoft.com/beta/security/tiIndicators/deleteTiIndicators
POST
https://graph.microsoft.com/beta/security/tiIndicators/deleteTiIndicatorsByExternalId
脅威の送信
電子メールの脅威の送信を取得する emailThreat を取得する https://graph.microsoft.com/beta/security/threatSubmission/emailThreats/{id}
電子メールの脅威の送信を一覧表示する emailThreats を一覧表示する https://graph.microsoft.com/beta/threatSubmission/emailThreats
電子メールの脅威の送信を作成する emailThreat を作成する https://graph.microsoft.com/beta/security/threatSubmission/emailThreats
電子メールの脅威の送信を確認する emailThreat を確認する https://graph.microsoft.com/beta/security/threatSubmission/emailThreats/{id}/review
ファイルの脅威の送信を取得する fileThreat を取得する https://graph.microsoft.com/beta/security/threatSubmission/fileThreats/{id}
ファイルの脅威の送信を一覧表示する fileThreats を一覧表示する https://graph.microsoft.com/beta/threatSubmission/urlThreats
ファイルの脅威の送信を作成する fileThreat を作成する https://graph.microsoft.com/beta/security/threatSubmission/fileThreats
URL 脅威の送信を取得する urlThreat を取得する https://graph.microsoft.com/beta/security/threatSubmission/urlThreats/{id}
URL 脅威の送信を一覧表示する urlThreats を一覧表示する https://graph.microsoft.com/beta/security/threatSubmission/urlThreats
URL 脅威の送信を作成する urlThreat を作成する https://graph.microsoft.com/beta/security/threatSubmission/urlThreats
電子メールの脅威の送信ポリシーを取得する emailThreatSubmissionPolicy を取得する https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies/{id}
電子メールの脅威送信ポリシーを一覧表示する emailThreatSubmissionPolicies を一覧表示する https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies
電子メールの脅威の送信ポリシーを作成する emailThreatSubmissionPolicy を作成する https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies
電子メールの脅威の送信ポリシーを更新する emailThreatSubmissionPolicy を更新する https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies/{id}
電子メールの脅威送信ポリシーを削除する emailThreatSubmissionPolicy を削除する https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies/{id}

Microsoft Graph webhook を使用すると、Microsoft Graph Security API エンティティの更新に関する通知をサブスクライブして受信できます。

新機能

この API セットに関する 最新機能や更新プログラム を検索してください。

次の手順

Microsoft Graph Security API は、Microsoft およびパートナーの各種セキュリティ ソリューションを活用するための新しい手段となります。以下の手順に従って開始しましょう。

さらに情報が必要な場合「パートナーによる Microsoft Graph の活用方法」を参照してください。

関連項目

以下の Microsoft Graph Security API サンプルに、コードを作成して投稿します

Microsoft Graph Security API に接続するその他のオプション調べます。

以下のコミュニティに参加できます。