Grundlegendes zu Microsoft Security Graph
Microsoft Graph bietet ein einheitliches Programmierbarkeitsmodell, mit dem Sie auf die Daten in Microsoft 365, Windows und Enterprise Mobility + Security zugreifen können. Sie können die Daten in Microsoft Graph verwenden, um angepasste Apps für Ihre Organisation zu erstellen.
Die Microsoft Graph-API bietet einen einzelnen Endpunkt, https://graph.microsoft.com (entweder v1.0 oder Betaversionen). Sie können REST-APIs oder SDKs für den Zugriff auf diesen Endpunkt und das Erstellen von Apps verwenden, die Microsoft 365-Szenarien unterstützen. Microsoft Graph umfasst auch eine leistungsstarke Gruppe von Diensten, mit denen Benutzer- und Geräteidentität, Zugriff, Compliance, Sicherheit und Schutz von Organisationen vor Datenlecks oder -verlusten verwaltet werden.
Was ist in Microsoft Graph enthalten?
Microsoft Graph stellt REST-APIs und Client-Bibliotheken für den Zugriff auf Daten in den folgenden Microsoft Cloud-Diensten bereit:
- Microsoft 365-Kerndienste: Bookings, Calendar, Delve, Excel, Microsoft Purview eDiscovery, Microsoft Search, OneDrive, OneNote, Outlook/Exchange, People (Outlook-Kontakte), Planner, SharePoint, Teams, To Do, Viva Insights
- Enterprise Mobility + Security-Dienste: Advanced Threat Analytics, Advanced Threat Protection, Microsoft Entra ID, Identity Manager und Intune
- Windows-Dienste: Aktivitäten, Geräte, Benachrichtigungen, universelles Drucken
- Dynamics 365 Business Central-Dienste
Microsoft Graph-Sicherheits-API
Die Microsoft Graph-Sicherheits-API ist ein Zwischendienst (bzw. Broker), der eine einzelne programmgesteuerte Schnittstelle zum Verbinden mehrerer Microsoft Graph-Sicherheitsanbieter (auch als Sicherheitsanbieter oder Anbieter bezeichnet) bereitstellt. Anforderungen an die Microsoft Graph-Sicherheits-API werden an alle zutreffenden Sicherheitsanbieter weitergeleitet. Die Ergebnisse werden aggregiert und in einem gemeinsamen Schema an die anfordernde Anwendung zurückgegeben, wie im folgenden Diagramm dargestellt.
Entwickler können mit Security Graph intelligente Sicherheitsdienste erstellen, die Folgendes leisten:
- Integrieren und Korrelieren von Sicherheitswarnungen aus mehreren Quellen.
- Streamen von Warnungen an Security Information & Event Management (SIEM).
- Automatisches Senden von Bedrohungsindikatoren an Microsoft-Sicherheitslösungen, um Warnungen zu aktivieren, oder Aktionen zu blockieren bzw. zuzulassen.
- Freigeben kontextbezogener Daten zur Verwendung in Untersuchungen.
- Entdecken von Möglichkeiten, aus den Daten zu lernen und Ihre Sicherheitslösungen zu trainieren.
- Automatisieren von SecOps zur Steigerung der Effizienz.
Verwenden der Sicherheits-API von Microsoft Graph
Es gibt zwei Versionen der Microsoft Graph Security-API.
- Version 1.0 der Microsoft Graph-REST-API
- Betaversion der Microsoft Graph-REST-API
Die Betaversion bietet neue oder erweiterte APIs, die sich noch im Vorschaustatus befinden. APIs im Vorschaustatus können geändert werden und vorhandene Szenarien ohne vorherige Ankündigung unterbrechen.
Für Security Operations Analysts unterstützen beide Versionen der Microsoft Graph-API erweitertes Hunting mithilfe der runHuntingQuery-Methode. Diese Methode enthält eine Abfrage in Kusto-Abfragesprache (Kusto Query Language, KQL).
Erweitertes Beispiel für Bedrohungssuche in Microsoft Defender XDR:
POST https://graph.microsoft.com/v1.0/security/runHuntingQuery { "Query": "DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2" }
Sie können mit Graph Explorer die Huntingabfrage auszuführen:
Weiterführende Lektüre finden Sie unter Die Microsoft Graph Security-API.