使用 Microsoft Graph 安全性 API

项目
07/19/2022

Microsoft Graph 安全性 API 提供了统一的界面的架构，用于与 Microsoft 和生态系统合作伙伴的安全性解决方案集成。这使客户能够简化安全性操作和更好地抵御日益增多的网络威胁。 Microsoft Graph 安全性 API 将查询与所有已上架的安全性提供商进行联接并生成相关响应。使用 Microsoft Graph 安全性 API 构建具有以下优势的应用程序：

合并和关联多个来源的安全警报
解锁上下文数据，以提供信息帮助调查
自动处理安全任务、业务流程、工作流和报告
发送 Microsoft 产品威胁指示器供自定义检测
采取操作来应对新的威胁
直观显示安全数据，实现主动风险管理

Microsoft Graph 安全性 API 包括以下关键实体。

警报

警报是指 Microsoft 或其合作伙伴安全解决方案在客户的租户中识别并标记要进行操作或发送通知的潜在安全问题。借助 Microsoft Graph 安全性警报实体，你可对所有集成解决方案中的安全问题进行统一和简化。此外，这还能使应用程序关联警报和上下文，从而提升威胁防护和响应。利用警报更新功能，你可以更新警报实体，从而同步与 Microsoft Graph 安全性 API 集成的不同安全产品和服务中的特定警报状态。

Microsoft Graph 安全性 API 提供来自以下提供商的警报。下表显示了对 GET 警报、PATCH 警报和订阅（通过 webhooks）的支持。

安全提供商	GET 警报	PATCH 警报	订阅订阅
Microsoft Defender for Cloud	✓	✓	✓
Azure Active Directory Identity Protection	✓	提交问题 *	✓
Microsoft Defender for Cloud Apps	✓	提交问题 *	✓
Microsoft Defender for Endpoint **	✓	✓	提交问题
Microsoft Defender for Identity ***	✓	提交问题 *	✓
Microsoft 365 默认 Cloud App Security 自定义警报	✓	提交问题	提交问题
Azure 信息保护（预览版）	✓	提交问题 *	✓
Azure Sentinel（预览版）	✓	在 Azure Sentinel 中不受支持	✓

注意： 新的提供商将会不断加入 Microsoft Graph 安全生态系统。要请求新的提供商或从现有提供商处获取更长时间的支持，请在 Microsoft Graph 安全性 GitHub 存储库中提交问题。

* 文件问题：警报状态在 Microsoft Graph 安全性 API 集成应用程序中得到更新，但不反映在供应商的管理经验中。

**与 Microsoft Graph 安全性 API 相比，Microsoft Defender for Endpoint 所需的用户角色更多。只有同时具备 Microsoft Defender for Endpoint 和 Microsoft Graph 安全性 API 角色的用户才可访问 Microsoft Defender for Endpoint 数据。由于仅限应用程序的身份验证不受此约束限制，我们建议使用仅限应用程序的身份验证令牌。

*** Microsoft Defender for Identity 警报通过 Microsoft Defender for Cloud Apps 集成提供。这意味着只有在加入了 Unified SecOps 并将 Microsoft Defender for Identity 连接到 Microsoft Defender for Cloud Apps 时，才会收到 Microsoft Defender for Identity 警报。了解有关如何集成 Microsoft Defender for Identity 和 Microsoft Defender for Cloud Apps 的详细信息。

电子数据展示

Microsoft Purview 电子数据展示（高级版）提供端到端工作流，用于保留、收集、分析、审阅和导出响应组织内部和外部调查的内容。

信息保护

Microsoft Graph 威胁评估 API 可帮助组织评估租户中任何用户收到的威胁。这样，客户就可将其收到的垃圾电子邮件、网络钓鱼 URL 或恶意软件附件报告给 Microsoft。策略检查结果和重新扫描结果可帮助租户管理员了解威胁扫描判定并调整其组织策略。

安全功能分数

Microsoft 安全功能分数是一款安全分析解决方案，可让你了解安全项目组合以及如何改进这些组合。只需一个分数，你就可以更好地了解已采取了哪些措施来降低 Microsoft 解决方案中的风险。此外，你还可以将你的分数与其他组织比较，以了解你的分数趋势。 Microsoft Graph 安全性 secureScore 和 secureScoreControlProfile 实体可以帮助你实现组织的安全性与生产力需求之间的平衡，同时支持相应的安全功能混合。你也可以计划采取安全功能之后的分数。

常见用例

下面是为使用 Microsoft Graph 安全性 API 而提出的最常见请求：

用例	REST 资源	在 Graph 浏览器中试调用
列出警报	List alerts	https://graph.microsoft.com/v1.0/security/alerts
更新警报	更新警报	https://graph.microsoft.com/v1.0/security/alerts/{alert-id}
列出电子数据展示案例	List eDiscoveryCases	https://graph.microsoft.com/beta/security/cases/eDiscoveryCases
列出电子数据展示案例操作	List caseOperations	https://graph.microsoft.com/beta/security/cases/eDiscoverycases/{id}/operations
列出安全功能分数	列出 secureScore	https://graph.microsoft.com/v1.0/security/secureScores
获取安全功能分数	获取 secureScore	https://graph.microsoft.com/v1.0/security/secureScores/{id}
列出安全功能分数控制配置文件	列出 secureScoreControlProfiles	https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles
获取安全功能分数控制配置文件	获取 secureScoreControlProfile	https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles/{id}
更新安全功能分数控制配置文件	更新 secureScoreControlProfile	https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles/{id}

可使用 Microsoft Graph Webhook 订阅和接收与 Microsoft Graph 安全性实体更新相关的通知。

资源

Microsoft Graph 安全性 API 示例的代码和贡献情况：

与社区互动：

后续步骤

Microsoft Graph 安全性 API 可以为你提供使用 Microsoft 和合作伙伴的不同安全解决方案的新方式。请按照以下步骤操作开始使用：

向下滚动至 alerts、secureScore 和 secureScoreControlProfiles。
在 Graph 资源管理器中试用 API。在“示例查询”中，选择“显示更多示例”并将“安全类别”设为“开启”。
请尝试订阅和接收实体变更通知。

需要更多灵感？请参阅我们的一些合作伙伴如何使用 Microsoft Graph。

另请参阅