Verwenden der Microsoft Graph-APIs für Microsoft Defender Threat Intelligence (Vorschau)
Wichtig
Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Hinweis
Die Microsoft Graph-API für Microsoft Defender Threat Intelligence erfordert eine aktive Defender Threat Intelligence Portal-Lizenz und eine API-Add-On-Lizenz für den Mandanten.
Organisationen, die eine Analyse der Bedrohungsinfrastruktur durchführen und Threat Intelligence sammeln, können Microsoft Defender Threat Intelligence (Defender TI) verwenden, um Selektierung, Reaktion auf Vorfälle, Bedrohungssuche, Sicherheitsrisikomanagement und Cyber Threat Intelligence-Analystenworkflows zu optimieren. Darüber hinaus können Sie die APIs verwenden, die von Microsoft Defender Threat Intelligence in Microsoft Graph verfügbar gemacht werden, um erstklassige Bedrohungsinformationen bereitzustellen, mit denen Sie Ihre organization vor modernen Cyberbedrohungen schützen können. Sie können Angreifer und deren Vorgänge identifizieren, die Erkennung und Behebung beschleunigen und Ihre Sicherheitsinvestitionen und Workflows verbessern.
Mit diesen Threat Intelligence-APIs können Sie die auf der Benutzeroberfläche gefundene Intelligenz operationalisieren. Dies umfasst fertige Intelligenz in Form von Artikeln und Intel-Profilen, Maschinelle Intelligenz einschließlich Indikatoren für Kompromittierung (IoCs) und Reputationsbewertungen und schließlich Anreicherungsdaten wie passives DNS, Cookies, Komponenten und Tracker.
Authorization
Um die Threat Intelligence-APIs in Microsoft Graph aufrufen zu können, muss Ihre App ein Zugriffstoken abrufen. Weitere Informationen zu Zugriffstoken finden Sie unter Abrufen von Zugriffstoken zum Aufrufen von Microsoft Graph. Ihre App benötigt auch die entsprechenden Berechtigungen. Weitere Informationen finden Sie unter Threat Intelligence-Berechtigungen.
Allgemeine Anwendungsfälle
Die Threat Intelligence-APIs fallen in einige Standard Kategorien:
- Geschriebene Details zu einem Bedrohungs- oder Bedrohungsakteur, z. B. artikel und intelligenceProfile.
- Eigenschaften zu einem Host, z. B. hostCookie, passiveDns oder Whois.
In der folgenden Tabelle sind einige häufige Anwendungsfälle für die Threat Intelligence-APIs aufgeführt.
| Anwendungsfälle | REST-Ressourcen | Siehe auch |
|---|---|---|
| Lesen Sie Artikel über Threat Intelligence. | Artikel | Methoden des Artikels |
| Lesen Sie Informationen zu einem Host, der derzeit oder zuvor im Internet verfügbar ist und der erkannt Microsoft Defender Threat Intelligence. Sie können weitere Details zu einem Host abrufen, einschließlich zugehöriger Cookies, passiver DNS-Einträge, Reputation und mehr. |
host, hostCookie, passiveDnsRecord, hostReputation |
Methoden des Hosts |
| Hier finden Sie Informationen zu Webkomponenten, die auf einem Host beobachtet werden. | hostComponent | Methoden von hostComponent |
| Lesen Sie Informationen zu Cookies, die auf einem Host beobachtet werden. | hostCookie | Methoden von hostCookie |
| Ermitteln sie referenzielle Hostpaare, die für einen Host beobachtet werden. Hostpaare enthalten Details wie Informationen zu HTTP-Umleitungen, der Nutzung von CSS oder Bildern von einem Host und mehr. | hostPair | Methoden von hostPair |
| Hier finden Sie Informationen zu Ports, die Microsoft Defender Threat Intelligence auf einem Host beobachtet haben, einschließlich der Komponenten für diese Ports, der Häufigkeit, mit der ein Port beobachtet wurde und was die einzelnen Hostportbannerantworten enthalten. |
hostPort, hostPortComponent, hostPortBanner |
Methoden von hostPort |
| Lesen von SSL-Zertifikatdaten, die auf einem Host beobachtet werden. Diese Daten enthalten Informationen zum SSL-Zertifikat und zur Beziehung zwischen dem Host und dem SSL-Zertifikat. |
hostSslCertificate, sslCertificate |
Methoden von hostSslCertificate |
| Lesen von Internettrackern, die auf einem Host beobachtet wurden. | hostTracker | Methoden von hosttracker |
| Lesen Sie Intelligence-Profile zu Bedrohungsakteuren und gängigen Kompromittierungswerkzeugen. |
intelligenceProfile, intelligenceProfileIndicator |
Methoden von intelligenceProfile |
| Lesen passiver DNS-Einträge (PDNS) zu einem Host. | passiveDnsRecord | Methoden von passiveDnsRecord |
| Lesen von SSL-Zertifikatdaten. Diese Informationen sind unabhängig von den Details darüber, wie sich das SSL-Zertifikat auf einen Host bezieht. | sslCertificate | Methoden von sslCertificate |
| Unterdomänendetails für einen Host lesen. | Subdomain | Methoden der Unterdomäne |
| Lesen Sie Details zu einem Sicherheitsrisiko. | Sicherheitsanfälligkeit | Methoden der Sicherheitslücke |
| Lesen Sie DIE WHOIS-Details für einen Host. | whoisRecord | Methoden von whoisRecord |
Nächste Schritte
Die Threat Intelligence-APIs in Microsoft Graph können Dazu beitragen, Ihre organization vor modernen Cyberbedrohungen zu schützen. So erhalten Sie weitere Informationen:
- Informieren Sie sich ausführlicher über die Methoden und Eigenschaften der Ressourcen, die für Ihr Szenario am hilfreichsten sind.
- Probieren Sie die API im Graph-Tester aus.