Seznámení se službou Microsoft Security Graph
Microsoft Graph poskytuje jednotný model programovatelnosti, který můžete použít pro přístup k datům v Microsoftu 365, Windows a Enterprise Mobility + Security. Data v Microsoft Graphu můžete použít k vytváření přizpůsobených aplikací pro vaši organizaci.
Rozhraní Microsoft Graph API nabízí jeden koncový bod https://graph.microsoft.com (verze 1.0 nebo beta verze). K přístupu ke koncovému bodu a vytváření aplikací, které podporují scénáře Microsoftu 365, můžete použít rozhraní REST API nebo sady SDK. Microsoft Graph obsahuje také výkonnou sadu služeb, které spravují identitu uživatelů a zařízení, přístup, dodržování předpisů a zabezpečení a pomáhají chránit organizace před únikem nebo ztrátou dat.
Co je v Microsoft Graphu?
Microsoft Graph zveřejňuje rozhraní REST API a klientské knihovny pro přístup k datům v následujících cloudových službách Microsoftu:
- Základní služby Microsoftu 365: Bookings, Kalendář, Delve, Excel, Microsoft Purview eDiscovery, Microsoft Search, OneDrive, OneNote, Outlook/Exchange, Lidé (kontakty Outlooku), Planner, SharePoint, Teams, To Do, Viva Insights
- Služby Enterprise Mobility + Security: Advanced Threat Analytics, Advanced Threat Protection, Microsoft Entra ID, Identity Manager a Intune
- Služby Windows: aktivity, zařízení, oznámení, Univerzální tisk
- Služby Dynamics 365 Business Central
Rozhraní Microsoft Graph Security API
Rozhraní Microsoft Graph Security API je zprostředkující služba (nebo zprostředkovatel), která poskytuje jedno programové rozhraní pro připojení více poskytovatelů zabezpečení Microsoft Graphu (označovaných také jako zprostředkovatelé zabezpečení nebo poskytovatelé). Požadavky na rozhraní Microsoft Graph Security API jsou federovány všem příslušným poskytovatelům zabezpečení. Výsledky se agregují a vrátí do žádosti o aplikaci ve společném schématu, jak je znázorněno v následujícím diagramu.
Vývojáři můžou pomocí služby Security Graph vytvářet inteligentní služby zabezpečení, které:
- Integrace a korelace výstrah zabezpečení z více zdrojů
- Streamovat výstrahy pro řešení zabezpečení a správy událostí (SIEM).
- Automatické odesílání indikátorů hrozeb do řešení zabezpečení Microsoftu za účelem povolení výstrah, blokování nebo povolení akcí
- Odemkněte kontextová data, abyste mohli informovat šetření.
- Objevte příležitosti k učení se z dat a trénování řešení zabezpečení.
- Automatizujte SecOps pro větší efektivitu.
Používání rozhraní Microsoft Graph Security API
Existují dvě verze Rozhraní API pro zabezpečení Microsoft Graphu.
- Microsoft Graph REST API v1.0
- Microsoft Graph REST API Beta
Beta verze poskytuje nová nebo rozšířená rozhraní API, která jsou stále ve stavu Preview. Rozhraní API ve stavu Preview se můžou změnit a mohou přerušit stávající scénáře bez předchozího upozornění.
U analytiků operací zabezpečení podporují obě verze rozhraní Microsoft Graph API pokročilé proaktivní vyhledávání pomocí metody runHuntingQuery . Tato metoda zahrnuje dotaz v dotazovací jazyk Kusto (KQL).
Příklad rozšířeného vyhledávání v XDR v programu Microsoft Defender:
POST https://graph.microsoft.com/v1.0/security/runHuntingQuery { "Query": "DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2" }
Pomocí Graph Exploreru můžete spustit dotaz proaktivního vyhledávání:
Další informace – další informace najdete v Rozhraní API pro zabezpečení Microsoft Graphu.