Использование API безопасности Microsoft Graph

  • Статья

API безопасности Microsoft Graph предоставляет единый интерфейс и схему для интеграции с решениями по обеспечению безопасности от корпорации Майкрософт и партнеров по экосистеме. Это позволяет клиентам упростить операции, связанные с безопасностью, и лучше защититься от возрастающих киберугроз. API безопасности Microsoft Graph объединяет запросы ко всем подключенным поставщикам безопасности и объединяет ответы. Используйте API безопасности Microsoft Graph для создания приложений, которые:

  • Консолидация и корреляция оповещений системы безопасности из нескольких источников.
  • Извлечение и изучение всех инцидентов и оповещений из служб, которые являются частью Microsoft 365 Defender или интегрированы с ним.
  • Разблокируют контекстные данные для информирования расследований.
  • Автоматизация задач безопасности, бизнес-процессов, рабочих процессов и отчетов.
  • Отправка индикаторов угроз в продукты Майкрософт для настраиваемых обнаружений.
  • Вызов действий в в ответ на новые угрозы.
  • Обеспечение видимости данных безопасности для упреждающего управления рисками.

API безопасности Microsoft Graph предоставляет ключевые функции, описанные в следующих разделах.

Расширенная охота

Расширенная охота — это средство охоты на угрозы на основе запросов, которое позволяет просматривать необработанные данные на срок до 30 дней. Вы можете проводить инспекцию событий в своей сети для поиска индикаторов и объектов угроз на профилактической основе. Гибкий доступ к данным обеспечивает неограниченную охоту на известные и потенциальные угрозы.

Используйте runHuntingQuery для выполнения запроса язык запросов Kusto (KQL) на данные, хранящиеся в Microsoft 365 Defender. Используйте возвращаемый результирующий набор для обогащения существующего исследования или обнаружения незамеченных угроз в сети.

Квоты и выделение ресурсов

Следующие условия относятся ко всем запросам.

  1. Запросы изучают и возвращают данные за последние 30 дней.
  2. Результаты могут возвращать до 100 000 строк.
  3. На каждого клиента можно выполнить не менее 45 вызовов в минуту. Количество вызовов зависит от размера каждого клиента.
  4. Каждому клиенту выделяются ресурсы ЦП в зависимости от размера клиента. Запросы блокируются, если клиент достигает 100 % выделенных ресурсов до следующего 15-минутного цикла. Чтобы избежать блокировки запросов из-за чрезмерного потребления, следуйте инструкциям в разделе Оптимизация запросов, чтобы избежать превышения квот ЦП.
  5. Если один запрос выполняется более трех минут, время ожидания истекает и возвращает ошибку.
  6. Код 429 HTTP-ответа указывает, что вы достигли выделенных ресурсов ЦП по количеству отправленных запросов или выделенному времени выполнения. Прочтите текст ответа, чтобы понять достигнутое ограничение.

Оповещения

Оповещения — это подробные предупреждения о подозрительных действиях в клиенте клиента, которые корпорация Майкрософт или поставщики безопасности партнеров определили и помечают для действий. Атаки обычно используют различные методы против различных типов сущностей, таких как устройства, пользователи и почтовые ящики. Результатом являются оповещения от нескольких поставщиков безопасности для нескольких сущностей в клиенте. Объединение отдельных оповещений для получения сведений об атаке может быть сложной задачей и занимает много времени.

API безопасности предлагает два типа оповещений, которые объединяют другие оповещения от поставщиков безопасности и упрощают анализ атак и определение ответных мер.

Оповещения и инциденты

Эти ресурсы оповещений сначала извлекают данные оповещений из служб поставщиков безопасности, которые являются частью Microsoft 365 Defender или интегрированы с ними. Затем они потребляют данные, чтобы вернуть ценные подсказки о завершенной или продолжающейся атаке, затронутых активах и связанных с ними доказательствах. Кроме того, они автоматически сопоставляют другие оповещения с теми же методами атаки или тем же злоумышленником с инцидентом , чтобы обеспечить более широкий контекст атаки. Они рекомендуют действия по реагированию и исправлению, обеспечивая согласованность действий для всех разных поставщиков. Многофункциональное содержимое упрощает аналитикам коллективное расследование угроз и реагирование на них.

Оповещения от следующих поставщиков безопасности доступны с помощью этих расширенных оповещений и инцидентов:

Устаревшие оповещения

Примечание.

Устаревший API оповещений устарел и будет удален к апрелю 2026 г. Рекомендуется перейти на новый API оповещений и инцидентов .

Устаревшие ресурсы оповещений объединяют вызовы поддерживаемых поставщиков безопасности Azure и Microsoft 365 Defender. Они объединяют общие данные оповещений в разных доменах, что позволяет приложениям унифицировать и оптимизировать управление проблемами безопасности во всех интегрированных решениях. Они позволяют приложениям сопоставлять оповещения и контекст для улучшения защиты от угроз и реагирования на них.

Устаревшая версия API безопасности предлагает ресурс оповещений , который объединяет вызовы поддерживаемых поставщиков безопасности Azure и Microsoft 365 Defender. Этот ресурс оповещений объединяет данные оповещений, которые являются общими для различных доменов, что позволяет приложениям унифицировать и оптимизировать управление проблемами безопасности во всех интегрированных решениях. Это позволяет приложениям сопоставлять оповещения и контекст для улучшения защиты от угроз и реагирования на нее.

С помощью возможности обновления оповещений можно синхронизировать состояние определенных оповещений в различных продуктах и службах безопасности, интегрированных с API безопасности Microsoft Graph, обновив сущность оповещения .

Оповещения от следующих поставщиков доступны через ресурс оповещений . Поддержка оповещений GET, исправлений и подписок (через веб-перехватчики) указана в следующей таблице.

Поставщик безопасности

Оповещение GET

Оповещение PATCH

Подписка на оповещения
Защита Microsoft Entra ID

Уведомление о проблеме *

Microsoft 365

Уведомление о проблеме

Уведомление о проблеме

Microsoft Defender for Cloud Apps

Уведомление о проблеме *

Microsoft Defender для конечной точки **

Уведомление о проблеме

Microsoft Defender для удостоверений ***

Уведомление о проблеме *

Microsoft Sentinel (прежнее название — Azure Sentinel)

Не поддерживается в Microsoft Sentinel

Примечание: Новые поставщики постоянно подключены к экосистеме безопасности Microsoft Graph. Чтобы запросить новых поставщиков или получить расширенную поддержку от существующих поставщиков, отправьте файл о проблеме в репозитории GitHub безопасности Microsoft Graph.

* Проблема с файлом. Состояние оповещения обновляется во всех интегрированных приложениях API безопасности Microsoft Graph, но не отражается в интерфейсе управления поставщиком.

** Microsoft Defender для конечной точки требуются дополнительные роли пользователей, а не те, которые требуются API безопасности Microsoft Graph. Доступ к данным Microsoft Defender для конечной точки могут получить только пользователи с ролями API безопасности Microsoft Defender для конечной точки и Microsoft Graph. Поскольку это ограничение не распространяется на проверку подлинности только для приложений, рекомендуется использовать маркер проверки подлинности только для приложений.

Microsoft Defender для удостоверений оповещения доступны через интеграцию Microsoft Defender for Cloud Apps. Это означает, что оповещения Microsoft Defender для удостоверений отображаются только в том случае, если вы присоединились к Unified SecOps и подключили Microsoft Defender для удостоверений к Microsoft Defender for Cloud Apps. Узнайте больше о том, как интегрировать Microsoft Defender для удостоверений и Microsoft Defender for Cloud Apps.

Имитация атак и обучение

Симуляция атак и обучение входит в состав Microsoft Defender для Office 365. Эта служба позволяет пользователям в клиенте испытать на себе реалистичную учебную фишинговую атаку и извлечь уроки. Симуляция социотехники и обучение пользователей помогают снизить риск взлома с применением таких методов атаки. API симуляции атак и обучения позволяет администраторам клиентов просматривать запущенные упражнения и тренинги по симуляции и получать отчеты об аналитике поведения пользователей в Интернете в условиях симуляции фишинга.

Обнаружение электронных данных (eDiscovery)

Обнаружение электронных данных в Microsoft Purview (премиум) обеспечивает комплексный рабочий процесс для сохранения, сбора, анализа, проверки и экспорта содержимого, используемого во внутренних и внешних исследованиях вашей организации.

Инциденты

Инцидент — это коллекция коррелированных оповещений и связанных данных, составляющих историю атаки. Управление инцидентами является частью Microsoft 365 Defender и доступно на портале Microsoft 365 Defender (https://security.microsoft.com/).

Службы и приложения Microsoft 365 создают оповещения при обнаружении подозрительного или вредоносного события или действия. Отдельные оповещения предоставляют ценные подсказки о завершенной или продолжающейся атаке. Однако в атаках обычно используются различные методы против различных типов сущностей, например устройств, пользователей и почтовых ящиков. Это приводит к созданию нескольких оповещений для нескольких сущностей в клиенте.

Так как объединение отдельных оповещений для получения сведений об атаке может быть сложной задачей и занимает много времени, Microsoft 365 Defender автоматически объединяет оповещения и связанную с ними информацию в инцидент.

Группировка связанных оповещений в инцидент дает полное представление об атаке. Например, вы можете увидеть:

  • Где началась атака.
  • Какие методы использовались.
  • Насколько глубоко атака проникла в клиента.
  • Область атаки, например количество затронутых устройств, пользователей и почтовых ящиков.
  • Все данные, связанные с атакой.

Ресурс инцидента и его API позволяют сортировать инциденты, чтобы создать информированный ответ кибербезопасности. Он предоставляет коллекцию инцидентов с соответствующими оповещениями, которые были помечены в вашей сети, в пределах диапазона времени, указанного в политике хранения среды.

Защита информации

API оценки угроз Microsoft Graph позволяет организациям оценивать угрозу, возникшую для любого пользователя в клиенте. Благодаря этому пользователи могут сообщать в корпорацию Майкрософт о полученной нежелательной почте, фишинговых URL-адресах и вредоносных вложениях. Результат проверки политики и результат повторного сканирования может помочь администраторам клиента понять заключение сканирования угроз и настроить политику организации.

Управление записями

Большинству организаций необходимо управлять данными для упреждающего соблюдения отраслевых правил и внутренних политик, снижения риска в случае судебного разбирательства или нарушения безопасности, а также для эффективного и гибкого обмена знаниями, актуальными и актуальными для них. API управления записями можно использовать для систематического применения меток хранения к разным типам содержимого, для которых требуются разные параметры хранения. Например, можно настроить начало срока хранения с момента создания, последнего изменения, добавления меток или с момента возникновения события для определенного типа события. Кроме того, можно использовать дескрипторы плана файлов , чтобы повысить управляемость этих меток хранения.

Оценка безопасности

Оценка безопасности (Майкрософт) — это решение аналитики безопасности, обеспечивающее обзор вашего набора решений безопасности и способов его улучшения. С помощью одной оценки вы можете лучше понять, что вы сделали для снижения рисков в решениях Майкрософт. Также можно сравнить свою оценку с другими организациями и просмотреть ее изменение со временем. Сущности security secureScore и secureScoreControlProfile в Microsoft Graph помогают сбалансировать потребности организации в безопасности и производительности, обеспечивая при этом соответствующее сочетание функций безопасности. Вы также можете спрогнозировать значение оцени после внедрения функций безопасности.

Аналитика угроз

Аналитика угроз Microsoft Defender предоставляет аналитику угроз мирового уровня, чтобы защитить организацию от современных киберугроз. Аналитику угроз можно использовать для выявления злоумышленников и их операций, ускорения обнаружения и исправления, а также для повышения инвестиций в безопасность и рабочих процессов.

API-интерфейсы аналитики угроз позволяют ввести в эксплуатацию аналитику, найденную в пользовательском интерфейсе. Сюда входит готовая аналитика в виде статей и профилей Intel, машинный интеллект, такой как ioCs и вердикты репутации, а также данные обогащения, такие как пассивные DNS, файлы cookie, компоненты и средства отслеживания.

Основные варианты использования

Ниже приведены некоторые из наиболее популярных запросов для работы с API безопасности Microsoft Graph.

Варианты использования Ресурсы REST Попробовать в песочнице Graph
Обновление профилей составляющих оценки безопасности Обновление объектов secureScoreControlProfile https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles/{id}
Оповещения и инциденты
Перечисление оповещений Перечисление оповещений https://graph.microsoft.com/v1.0/security/alerts_v2
Обновление оповещения Обновление оповещения https://graph.microsoft.com/v1.0/security/alerts/{id}
Получение списка инцидентов Получение списка инцидентов https://graph.microsoft.com/v1.0/security/incidents
Перечисление инцидентов с помощью оповещений Получение списка инцидентов https://graph.microsoft.com/v1.0/security/incidents?$expand=alerts
Обновление данных об инциденте Обновление данных об инциденте https://graph.microsoft.com/v1.0/security/incidents/{id}
Обнаружение электронных данных
Перечисление случаев обнаружения электронных данных Перечисление eDiscoveryCases https://graph.microsoft.com/v1.0/security/cases/eDiscoveryCases
Перечисление операций со случаями обнаружения электронных данных Перечисление caseOperations https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{id}/operations
Устаревшие оповещения
Перечисление оповещений Перечисление оповещений https://graph.microsoft.com/v1.0/security/alerts
Обновление оповещений Обновление оповещения https://graph.microsoft.com/v1.0/security/alerts/{alert-id}
Оценки безопасности
Список оценок безопасности Список объектов secureScore https://graph.microsoft.com/v1.0/security/secureScores
Получение оценки безопасности Получение объектов secureScore https://graph.microsoft.com/v1.0/security/secureScores/{id}
Список профилей составляющих оценки безопасности Список объектов secureScoreControlProfiles https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles
Получение профилей составляющих оценки безопасности Получение объектов secureScoreControlProfile https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles/{id}

Веб-перехватчики Microsoft Graph можно использовать для подписки на и получения уведомлений об обновлениях сущностей безопасности Microsoft Graph.

Ресурсы

Код и участие в этих примерах API безопасности Microsoft Graph:

Взаимодействие с сообществом:

Дальнейшие действия

API безопасности Microsoft Graph открывает новые способы взаимодействия с различными решениями по обеспечению безопасности от корпорации Майкрософт и партнеров. Чтобы приступить к работе, следуйте указанным ниже инструкциям.

Связанные материалы

Код и участие в этом примере API безопасности Microsoft Graph:

Ознакомьтесь с другими вариантами подключения с помощью API безопасности Microsoft Graph:

Взаимодействие с сообществом: