Uso de la API de seguridad de Microsoft Graph

Importante

Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.

La API de seguridad de Microsoft Graph proporciona una interfaz y un esquema unificados para integrarse con soluciones de seguridad de Microsoft y asociados del ecosistema. Permite a los clientes simplificar las operaciones de seguridad y defenderse mejor contra el aumento de las ciberamenazas. La API de seguridad de Microsoft Graph federa las consultas a todos los proveedores de seguridad incorporados y agrega respuestas. Use la API de seguridad de Microsoft Graph para compilar aplicaciones que:

• Consolide y correlacione las alertas de seguridad de varios orígenes.
• Extraiga e investigue todos los incidentes y alertas de los servicios que forman parte o se integran con Microsoft 365 Defender.
• Desbloqueen datos contextuales para obtener información para investigaciones.
• Automatice las tareas de seguridad, los procesos empresariales, los flujos de trabajo y los informes.
• Enviar indicadores de amenazas a productos de Microsoft para detecciones personalizadas.
• Invoque acciones en en respuesta a nuevas amenazas.
• Proporcione visibilidad sobre los datos de seguridad para habilitar la administración proactiva de riesgos.

La API de seguridad de Microsoft Graph proporciona características clave como se describe en las secciones siguientes.

Acciones (versión preliminar)

Tome medidas inmediatas para defenderse frente a amenazas mediante la entidad securityAction . Cuando un analista de seguridad detecta un indicador nuevo, como un archivo, URL, dominio o dirección IP malintencionados, se puede habilitar la protección al instante en las soluciones de seguridad de Microsoft. Invoque una acción para un proveedor específico, vea todas las acciones realizadas y cancele una acción, si es necesario. Pruebe las acciones de seguridad con Microsoft Defender para punto de conexión (anteriormente ATP de Microsoft Defender) para bloquear la actividad malintencionada en los puntos de conexión de Windows mediante propiedades que se ven en alertas o identificadas durante investigaciones.

Nota: las acciones de seguridad solo admiten actualmente permisos de aplicación.

Búsqueda avanzada de amenazas

La búsqueda avanzada es una herramienta de búsqueda de amenazas basada en consulta que le permite explorar hasta 30 días de datos sin procesar. Puede inspeccionar eventos de forma proactiva en su red para localizar entidades e indicadores de amenazas. El acceso flexible a los datos permite realizar búsquedas sin restricciones de amenazas conocidas y potenciales.

Use runHuntingQuery para ejecutar una consulta de Lenguaje de consulta Kusto (KQL) en los datos almacenados en Microsoft 365 Defender. Aproveche el conjunto de resultados devuelto para enriquecer una investigación existente o descubrir amenazas no detectadas en la red.

Cuotas y asignación de recursos

1. Puede ejecutar una consulta en los datos de solo los últimos 30 días.

2. Los resultados incluyen un máximo de 100 000 filas.

3. El número de ejecuciones es limitado por inquilino:

   • Llamadas API: hasta 45 solicitudes por minuto y hasta 1500 solicitudes por hora.
   • Tiempo de ejecución: 10 minutos de tiempo de ejecución cada hora y 3 horas de tiempo de ejecución al día.

4. El tiempo máximo de ejecución de una sola solicitud es de 200 segundos.

5. Un código de respuesta HTTP 429 significa que ha alcanzado la cuota para el número de llamadas API o el tiempo de ejecución. Consulte el cuerpo de la respuesta para confirmar el límite que ha alcanzado.

6. El tamaño máximo del resultado de la consulta de una sola solicitud no puede superar los 124 MB. Si se supera el límite de tamaño, se produce una solicitud http 400 incorrecta con el mensaje "La ejecución de consultas ha superado el tamaño de resultado permitido. Optimice la consulta limitando el número de resultados e inténtelo de nuevo".

Detecciones personalizadas

Puede crear reglas de detección personalizadas de búsqueda avanzadas específicas de las operaciones de seguridad para permitirle supervisar proactivamente las amenazas y tomar medidas. Por ejemplo, puede crear reglas de detección personalizadas que busquen indicadores conocidos o dispositivos mal configurados. Estas desencadenan automáticamente alertas y cualquier acción de respuesta que especifique.

Cuotas

1. Obtener varias reglas: 10 reglas por minuto por aplicación, 300 reglas por hora por aplicación, 600 reglas por hora por inquilino
2. Obtener una sola regla: 100 reglas por minuto por aplicación, 1.500 reglas por hora por aplicación, 1.800 reglas por hora por inquilino
3. Crear regla: 10 reglas por minuto por aplicación, 1.500 reglas por hora por aplicación, 1.800 reglas por hora por inquilino
4. Regla de actualización: 100 reglas por minuto por aplicación, 1.500 reglas por hora por aplicación, 1.800 reglas por hora por inquilino
5. Regla de eliminación: 100 reglas por minuto por aplicación, 1.500 reglas por hora por aplicación, 1.800 reglas por hora por inquilino

Alertas

Las alertas son advertencias detalladas sobre actividades sospechosas en el inquilino de un cliente que Microsoft o los proveedores de seguridad asociados han identificado y marcado como acción. Los ataques suelen emplear varias técnicas en diferentes tipos de entidades, como dispositivos, usuarios y buzones. El resultado son alertas de varios proveedores de seguridad para varias entidades del inquilino. Reunir las alertas individuales para obtener información sobre un ataque puede ser difícil y lleva mucho tiempo.

La versión beta de la API de seguridad ofrece dos tipos de alertas que agregan otras alertas de proveedores de seguridad y facilitan el análisis de ataques y la determinación de respuestas:

• Alertas e incidentes : la última generación de alertas en la API de seguridad de Microsoft Graph. Se representan mediante el recurso de alerta y su colección, el recurso de incidente , definidos en el microsoft.graph.security espacio de nombres.
• Alertas heredadas : la primera generación de alertas en la API de seguridad de Microsoft Graph. Se representan mediante el recurso de alerta definido en el espacio de microsoft.graph nombres.

Alertas e incidentes

Estos recursos de alertas extraen primero los datos de alerta de los servicios del proveedor de seguridad, que forman parte de Microsoft 365 Defender o están integrados en ellos. A continuación, consumen los datos para devolver pistas enriquecidas y valiosas sobre un ataque completado o en curso, los recursos afectados y las pruebas asociadas. Además, correlacionan automáticamente otras alertas con las mismas técnicas de ataque o con el mismo atacante en un incidente para proporcionar un contexto más amplio de un ataque. Recomiendan acciones de respuesta y corrección, lo que ofrece una capacidad de acción coherente en todos los distintos proveedores. El contenido enriquecido facilita a los analistas investigar y responder colectivamente a las amenazas.

Las alertas de los siguientes proveedores de seguridad están disponibles a través de estas alertas e incidentes enriquecidos:

• Protección de Microsoft Entra ID
• Microsoft 365 Defender
• Microsoft Defender for Cloud Apps
• Microsoft Defender para punto de conexión
• Microsoft Defender for Identity
• Microsoft Defender para Office 365
• Prevención de pérdida de datos de Microsoft Purview

Alertas heredadas

Nota:

La API de alertas heredada está en desuso y se quitará en abril de 2026. Se recomienda migrar a la nueva API de alertas e incidentes .

Los recursos de alerta heredados federan las llamadas de los proveedores de seguridad de Azure y Microsoft 365 Defender compatibles. Agregan datos de alerta comunes entre los distintos dominios para permitir que las aplicaciones unifiquen y optimicen la administración de problemas de seguridad en todas las soluciones integradas. Permiten a las aplicaciones correlacionar las alertas y el contexto para mejorar la protección y la respuesta a amenazas.

Con la funcionalidad de actualización de alertas, puede sincronizar el estado de alertas específicas en diferentes productos y servicios de seguridad que se integran con la API de seguridad de Microsoft Graph actualizando la entidad de alerta .

Las alertas de los siguientes proveedores de seguridad están disponibles a través del recurso de alerta heredado . La compatibilidad con las alertas GET, las alertas PATCH y la suscripción (a través de webhooks) se indica en la tabla siguiente.

Proveedor de seguridad	OBTENER alerta	REVISAR alerta	Suscribirse a alerta
Protección de Microsoft Entra ID	✓	Problema del archivo *	✓
Azure Security Center	✓	✓	✓
Microsoft 365 Default Cloud App Security Alerta personalizada	✓	Informar de problema	Informar de problema
Microsoft Defender for Cloud Apps (anteriormente Microsoft Cloud App Security)	✓	Problema del archivo *	✓
Microsoft Defender para punto de conexión (anteriormente ATP de Microsoft Defender) **	✓	✓	Informar de problema
Microsoft Defender for Identity (anteriormente Protección contra amenazas avanzada de Azure) ***	✓	Problema del archivo *	✓
Microsoft Sentinel (anteriormente Azure Sentinel)	✓	No se admite en Microsoft Sentinel	✓

Nota: Los nuevos proveedores se incorporan continuamente al ecosistema de seguridad de Microsoft Graph. Para solicitar nuevos proveedores o soporte extendido de proveedores existentes, escriba un problema en el repositorio de GitHub de seguridad de Microsoft Graph.

* Problema de archivo: el estado de las alertas se actualiza en las aplicaciones integradas de la API de seguridad de Microsoft Graph, pero no se refleja en la experiencia de administración del proveedor.

** Microsoft Defender para punto de conexión requiere roles de usuario adicionales para los que requiere la API de seguridad de Microsoft Graph. Solo los usuarios de Microsoft Defender para punto de conexión y los roles de API de seguridad de Microsoft Graph pueden tener acceso a los datos de Microsoft Defender para punto de conexión. Dado que la autenticación solo de aplicación no está limitada por esto, se recomienda usar un token de autenticación de solo aplicación.

Microsoft Defender for Identity alertas están disponibles a través de la integración de Microsoft Defender for Cloud Apps. Esto significa que obtiene alertas de Microsoft Defender for Identity solo si se ha unido a Unified SecOps y conectado Microsoft Defender for Identity a Microsoft Defender for Cloud Apps. Obtenga más información sobre cómo integrar Microsoft Defender for Identity y Microsoft Defender for Cloud Apps.

Simulación y entrenamiento de ataques

La simulación de ataques y entrenamiento forma parte de Microsoft Defender para Office 365. Este servicio permite a los usuarios de un inquilino experimentar un ataque de phishing benigno realista y aprender de él. Las experiencias de simulación y aprendizaje de ingeniería social para los usuarios finales ayudan a reducir el riesgo de que los usuarios no cumplan a través de esas técnicas de ataque. La API de simulación de ataques y aprendizaje permite a los administradores de inquilinos ver los ejercicios y aprendizajes de simulación iniciados y obtener informes sobre ideas derivadas en los comportamientos en línea de los usuarios en las simulaciones de phishing.

eDiscovery

Microsoft Purview eDiscovery (premium) ofrece un flujo de trabajo de un extremo a otro para conservar, recopilar, revisar, analizar y exportar el contenido que responde a las investigaciones internas y externas de la organización.

Consulta de registro de auditoría (versión preliminar)

Auditoría de Microsoft Purview proporciona una solución integrada para ayudar a las organizaciones a responder eficazmente a eventos de seguridad, investigaciones forenses, investigaciones internas y obligaciones de cumplimiento. Miles de operaciones de usuarios y administradores que se realizan en docenas de servicios y soluciones de Microsoft 365 se capturan, graban y retienen en el registro de auditoría unificado de su organización. Los registros de auditoría de estos eventos pueden ser objeto de búsqueda por las operaciones de seguridad, los administradores de TI, los equipos de riesgos de Insider, así como por los investigadores del cumplimiento y la legislación legal de la organización. Esta funcionalidad permite ver las actividades que se realizan en toda la organización de Microsoft 365.

Identidades

Problemas de mantenimiento

La API de problemas de estado de Microsoft Defender for Identity permite supervisar el estado de mantenimiento de los sensores y agentes en toda la infraestructura de identidad híbrida. Puede usar la API de problemas de mantenimiento para recuperar información sobre los problemas de mantenimiento actuales de los sensores, como el tipo de problema, el estado, la configuración y la gravedad. También puede usar la API para identificar y resolver cualquier problema que pueda afectar a la funcionalidad o la seguridad de los sensores y agentes.

Nota: La API de problemas de estado de Microsoft Defender for Identity solo está disponible en los planes de servicio de seguridad de Defender for Identity o Microsoft 365 E5/A5/G5/F5.

Sensores

La API de administración de sensores de Defender for Identity permite crear informes detallados de los sensores del área de trabajo, incluida la información sobre el nombre del servidor, la versión del sensor, el tipo, el estado y el estado de mantenimiento. También le permite administrar la configuración del sensor, como agregar descripciones, habilitar o deshabilitar actualizaciones retrasadas y especificar el controlador de dominio al que se conecta el sensor para consultar el id. de entra.

Incidentes

Un incidente es una colección de alertas correlacionadas y datos asociados que componen la historia de un ataque. La administración de incidentes forma parte de Microsoft 365 Defender y está disponible en el portal de Microsoft 365 Defender (https://security.microsoft.com/).

Los servicios y aplicaciones de Microsoft 365 crean alertas cuando detectan un evento o actividad sospechosos o malintencionados. Las alertas individuales proporcionan pistas valiosas sobre un ataque completado o en curso. Sin embargo, los ataques suelen emplear varias técnicas en distintos tipos de entidades, como dispositivos, usuarios y buzones de entrada. El resultado son varias alertas para varias entidades del espacio empresarial.

Dado que reunir las alertas individuales para obtener información sobre un ataque puede ser complicado y lento, Microsoft 365 Defender agrega automáticamente las alertas y su información asociada a un incidente.

La agrupación de alertas relacionadas en un incidente le ofrece una vista completa de un ataque. Por ejemplo, puede ver:

• Dónde se inició el ataque.
• Qué tácticas se usaron.
• Hasta dónde ha llegado el ataque a su cuenta empresarial.
• El ámbito del ataque, como el número de dispositivos, usuarios y buzones de entrada que se vieron afectados.
• Todos los datos asociados al ataque.

El recurso de incidentes y sus API permiten ordenar los incidentes para crear una respuesta de seguridad cibernética fundamentada. Expone una colección de incidentes, con sus alertas relacionadas, que se marcaron en la red, dentro del intervalo de tiempo especificado en la directiva de retención del entorno.

Protección de la información

Etiquetas: las etiquetas de protección de información indican cómo aplicar correctamente una etiqueta de carácter a la información. La API de la etiqueta de protección de la información describe la configuración de las etiquetas de sensibilidad que se aplican a un usuario o un espacio empresarial.

Evaluación de amenazas: la API de evaluación de amenazas de Microsoft Graph ayuda a las organizaciones a evaluar la amenaza que recibe cualquier usuario en un espacio empresarial. Esto permite a los clientes informar a Microsoft de los mensajes de correo no deseado o sospechosos, direcciones URL de suplantación de identidad y datos adjuntos malintencionados que reciben. Microsoft comprueba el ejemplo en cuestión y las directivas de la organización en juego antes de generar un resultado para que los administradores de inquilinos puedan comprender el veredicto de examen de amenazas y ajustar su directiva organizativa. También pueden usarlo para informar de correos electrónicos legítimos para evitar que se bloqueen.

Nota: se recomienda usar la API de envío de amenazas en su lugar.

Administración de registros

La mayoría de las organizaciones necesitan administrar los datos para cumplir proactivamente con las regulaciones del sector y las directivas internas, reducir el riesgo en caso de litigio o una infracción de seguridad, y permitir que sus empleados compartan de forma eficaz y ágil conocimientos que son actuales y pertinentes para ellos. Puede usar las API de administración de registros para aplicar sistemáticamente etiquetas de retención a diferentes tipos de contenido que requieren diferentes configuraciones de retención. Por ejemplo, puede configurar el inicio del período de retención desde el momento en que se creó, modificó por última vez el contenido, se etiquetó o cuando se produjo un evento para un tipo de evento determinado. Además, puede usar descriptores de plan de archivos para mejorar la capacidad de administración de estas etiquetas de retención.

Puntuación de seguridad

Puntuación de seguridad de Microsoft es una solución de análisis de seguridad que le permite ver su cartera de seguridad y conocer cómo mejorarla. Con una única puntuación, puede comprender mejor las acciones que ha realizado para reducir su riesgo en las soluciones de Microsoft. También puede comparar su puntuación con otras organizaciones y ver las tendencias de su puntuación con el paso del tiempo. Las entidades secureScore y secureScoreControlProfile le ayudan a equilibrar las necesidades de seguridad y productividad de su organización, al tiempo que habilitan la combinación adecuada de características de seguridad. También puede proyectar cuál será la puntuación después de adoptar características de seguridad.

Inteligencia sobre amenazas (versión preliminar)

Inteligencia contra amenazas de Microsoft Defender ofrece inteligencia sobre amenazas de primera clase para ayudar a proteger su organización frente a las ciberamenazas modernas. Puede usar Inteligencia sobre amenazas para identificar adversarios y sus operaciones, acelerar la detección y corrección, y mejorar sus inversiones y flujos de trabajo de seguridad.

Las API de inteligencia sobre amenazas (versión preliminar) permiten poner en funcionamiento la inteligencia que se encuentra en la interfaz de usuario. Esto incluye inteligencia finalizada en las formas de artículos y perfiles de intel, inteligencia artificial, incluidos ioCs y veredictos de reputación y, por último, datos de enriquecimiento, incluidos DNS pasivos, cookies, componentes y rastreadores.

Indicadores de inteligencia sobre amenazas (versión preliminar)

Nota:

La entidad tiIndicator está en desuso y se quitará en abril de 2026.

Los indicadores de amenazas también conocidos como indicadores de peligro (IO), representan datos sobre amenazas conocidas, como archivos malintencionados, direcciones URL, dominios y direcciones IP. Los clientes pueden generar indicadores mediante la recopilación de inteligencia de amenazas internas o adquirir indicadores de comunidades de inteligencia de amenazas, fuentes con licencia y otros orígenes. Estos indicadores se usarán en varias herramientas de seguridad para defenderse de las amenazas relacionadas.

La entidad tiIndicator permite a los clientes alimentar indicadores de amenazas a las soluciones de seguridad de Microsoft para realizar una acción de bloqueo o alerta en una actividad malintencionada, o para permitir que la actividad que se ha determinado sea irrelevante para la organización y suprimir acciones para el indicador. Para enviar un indicador, especifique la solución de seguridad de Microsoft destinada a utilizar el indicador y la acción que debe realizar para ese indicador.

Puede integrar la entidad tiIndicator en su aplicación o usar una de las siguientes plataformas de inteligencia de amenazas integradas (TIP):

• Uso compartido de inteligencia de amenazas de Palo Alto Networks MineMeld
• Plataforma de inteligencia de amenazas de código abierto de MISP disponible a través de la muestra de TI

Los indicadores de amenazas enviados a través de la API de seguridad de Microsoft Graph están disponibles hoy en día en los siguientes productos:

• Microsoft Defender para punto de conexión: permite alertar o bloquear indicadores de amenazas asociados a actividades malintencionadas. También puede permitir un indicador para ignorar el indicador de las investigaciones automatizadas. Para obtener más información sobre los tipos de indicadores compatibles y los límites de los recuentos de indicadores por inquilino, vea Administrar indicadores.
• Microsoft Sentinel: solo los clientes existentes pueden usar tiIndicator API para enviar indicadores de inteligencia sobre amenazas a Microsoft Sentinel. Para obtener las instrucciones más actualizadas y detalladas sobre cómo enviar indicadores inteligentes de amenazas a Microsoft Sentinel, consulte Conexión de la plataforma de inteligencia sobre amenazas a Microsoft Sentinel.

Envío de amenazas

La API de envío de amenazas de Microsoft Graph ayuda a las organizaciones a enviar una amenaza recibida por cualquier usuario de un inquilino. Esto permite a los clientes informar a Microsoft de los mensajes de correo no deseado o sospechosos, direcciones URL de suplantación de identidad y datos adjuntos malintencionados que reciben. Microsoft comprueba el envío en relación con las directivas de la organización en vigor y lo envía a los evaluadores humanos para su análisis. El resultado ayuda a los administradores de inquilinos a comprender el veredicto del examen de amenazas y a ajustar su directiva organizativa. Los administradores también pueden usar los resultados para informar de correos electrónicos legítimos para evitar que se bloqueen.

Nota: Se recomienda usar la API de envío de amenazas en lugar de la API de evaluación de amenazas Information Protection en desuso. La API de envío de amenazas proporciona una funcionalidad unificada de envío de amenazas de seguridad y agrega compatibilidad con resultados unificados, compatibilidad con consultas de envío de usuarios, compatibilidad con listas de permitidos y bloqueados de inquilinos, compatibilidad con revisiones de administrador y compatibilidad con el modo de solo aplicación.

protección de Email y colaboración

Microsoft Defender para Office 365 es un servicio de filtrado de correo electrónico basado en la nube que ayuda a proteger su organización frente a amenazas avanzadas a las herramientas de correo electrónico y colaboración, como suplantación de identidad (phishing), peligro de correo electrónico empresarial y ataques de malware. Puede usar las API analyzedemails y remediate de Microsoft Graph para recuperar metadatos de correo electrónico y realizar acciones de respuesta (eliminación temporal, eliminación rígida, traslado a correo no deseado, desplazamiento a la Bandeja de entrada) en los mensajes analizados.

Nota: Estas API solo están disponibles para los planes de servicio de seguridad Defender para Office 365 Plan 2 o Microsoft 365 A5/E5/F5/G5. Para obtener la lista más actualizada de los planes de servicio, consulte Microsoft Defender para Office 365 descripción del servicio.

Sensores

La API de administración de sensores de Defender for Identity permite crear informes detallados de los sensores del área de trabajo, incluida la información sobre el nombre del servidor, la versión del sensor, el tipo, el estado y el estado de mantenimiento. También permite administrar la configuración del sensor, como agregar descripciones, habilitar o deshabilitar actualizaciones retrasadas y especificar el controlador de dominio al que se conecta el sensor para consultar el identificador de entra.

Casos de uso comunes

A continuación se muestran algunas de las solicitudes más populares para trabajar con la API de seguridad de Microsoft Graph.

Casos de uso	Operaciones REST	Probar en el Probador de Graph
Acciones (versión preliminar)
Obtener acción de seguridad	Obtener acción de seguridad	https://graph.microsoft.com/beta/security/securityActions/{id}
Enumerar acciones de seguridad	Enumerar acciones de seguridad	https://graph.microsoft.com/beta/security/securityActions
Crear acciones de seguridad	Crear acciones de seguridad	https://graph.microsoft.com/beta/security/securityActions
Cancelar acción de seguridad	Cancelar acciones de seguridad	https://graph.microsoft.com/beta/security/securityActions/{id}/cancelSecurityAction
Alertas e incidentes
Lista de alertas	List alerts	https://graph.microsoft.com/beta/security/alerts_v2
Actualizar alerta	Update alert	https://graph.microsoft.com/beta/security/alerts/{id}
Lista de Incidentes	Lista de Incidentes	https://graph.microsoft.com/beta/security/incidents
Enumerar incidentes con alertas	Lista de Incidentes	https://graph.microsoft.com/beta/security/incidents?$expand=alerts
Incidente de actualización	Incidente de actualización	https://graph.microsoft.com/beta/security/incidents/{id}
Simulación y entrenamiento de ataques
Enumerar simulaciones	Enumerar simulaciones	https://graph.microsoft.com/beta/security/attackSimulation/simulations
Obtener informe de información general sobre simulación	Obtener informe de información general sobre simulación	https://graph.microsoft.com/beta/security/attackSimulation/simulations/{id}/report/overview
Enumerar informe de usuarios sobre simulación	Enumerar informe de usuarios sobre simulación	https://graph.microsoft.com/beta/security/attackSimulation/simulations/{id}/report/simulationUsers
eDiscovery
Enumerar casos de eDiscovery	Enumerar eDiscoveryCases	https://graph.microsoft.com/beta/security/cases/eDiscoveryCases
Enumerar operaciones de casos de eDiscovery	Enumerar caseOperations	https://graph.microsoft.com/beta/security/cases/ediscoveryCases/{id}/operations
Alertas heredadas
Lista de alertas	List alerts	https://graph.microsoft.com/beta/security/alerts
Actualizar alertas	Actualizar alerta Actualización de varias alertas	https://graph.microsoft.com/beta/security/alerts/{alert-id} https://graph.microsoft.com/beta/security/alerts/updateAlerts
Puntuaciones de seguridad
Enumerar Puntuaciones de seguridad	Enumerar secureScores	https://graph.microsoft.com/beta/security/secureScores
Perfiles de control de Puntuación de seguridad
Enumerar perfiles de control de puntuación segura	Enumerar secureScoreControlProfiles	https://graph.microsoft.com/beta/security/secureScoreControlProfiles
Actualizar perfiles de control de puntuación de seguridad	Actualizar secureScoreControlProfiles	https://graph.microsoft.com/beta/security/secureScoreControlProfiles/{id}
Indicaciones de inteligencia sobre amenazas (versión preliminar)
Obtener el indicador de TI	Obtener tiIndicator	https://graph.microsoft.com/beta/security/tiIndicators/{id}
Enumerar indicadores de TI	Enumerar tiIndicators	https://graph.microsoft.com/beta/security/tiIndicators
Crear indicador de TI	Crear tiIndicator	https://graph.microsoft.com/beta/security/tiIndicators
Enviar indicadores de TI	Enviar tiIndicators	https://graph.microsoft.com/beta/security/tiIndicators/submitTiIndicators
Actualizar indicadores de TI	Actualización de tiIndicator Actualización de varios tiIndicators	https://graph.microsoft.com/beta/security/tiIndicators/{id} https://graph.microsoft.com/beta/security/tiIndicators/updateTiIndicators
Eliminar indicadores de TI	Eliminar tiIndicator Eliminación de varios tiIndicators Eliminación de tiIndicator por externalId	DELETE https://graph.microsoft.com/beta/security/tiIndicators/{id} POST https://graph.microsoft.com/beta/security/tiIndicators/deleteTiIndicators POST https://graph.microsoft.com/beta/security/tiIndicators/deleteTiIndicatorsByExternalId
Envío de amenazas
Obtener envío de amenazas por correo electrónico	Obtener emailThreat	https://graph.microsoft.com/beta/security/threatSubmission/emailThreats/{id}
Enumerar envíos de amenazas por correo electrónico	Enumerar emailThreats	https://graph.microsoft.com/beta/threatSubmission/emailThreats
Crear envío de amenazas por correo electrónico	Crear emailThreat	https://graph.microsoft.com/beta/security/threatSubmission/emailThreats
Revisar el envío de amenazas por correo electrónico	Revisar emailThreat	https://graph.microsoft.com/beta/security/threatSubmission/emailThreats/{id}/review
Obtener envío de amenazas de archivo	Obtener fileThreat	https://graph.microsoft.com/beta/security/threatSubmission/fileThreats/{id}
Enumerar envíos de amenazas de archivos	Enumerar fileThreats	https://graph.microsoft.com/beta/threatSubmission/urlThreats
Crear envío de amenazas de archivo	Crear archivoThreat	https://graph.microsoft.com/beta/security/threatSubmission/fileThreats
Obtener el envío de amenazas de URL	Obtener urlThreat	https://graph.microsoft.com/beta/security/threatSubmission/urlThreats/{id}
Enumerar envíos de amenazas de URL	Enumerar urlThreats	https://graph.microsoft.com/beta/security/threatSubmission/urlThreats
Crear envío de amenazas de URL	Crear urlThreat	https://graph.microsoft.com/beta/security/threatSubmission/urlThreats
Obtener directiva de envío de amenazas por correo electrónico	Obtener emailThreatSubmissionPolicy	https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies/{id}
Enumerar directivas de envío de amenazas por correo electrónico	Enumerar emailThreatSubmissionPolicies	https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies
Crear directiva de envío de amenazas por correo electrónico	Crear emailThreatSubmissionPolicy	https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies
Actualizar directiva de envío de amenazas por correo electrónico	Actualizar emailThreatSubmissionPolicy	https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies/{id}
Eliminar directiva de envío de amenazas por correo electrónico	Eliminar emailThreatSubmissionPolicy	https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies/{id}
Eliminar directiva de envío de amenazas por correo electrónico	Eliminar emailThreatSubmissionPolicy	https://graph.microsoft.com/beta/security/threatSubmission/emailThreatSubmissionPolicies/{id}
Email análisis y corrección
Consulta de metadatos de correo electrónico	LIST analyzedemails	https://graph.microsoft.com/beta/security/collaboration/analyzedemails?startTime={startTime}& endTime={endTime}
Obtener detalles de una única instancia de mensaje	GET analyzedemails/Id	https://graph.microsoft.com/beta/security/collaboration/analyzedemails/{Id}
Corrección del correo electrónico analizado	analyzedEmail: remediate	https://graph.microsoft.com/beta/security/collaboration/analyzedemails/remediate
Identidades
Enumerar problemas de mantenimiento	Enumerar problemas de mantenimiento	https://graph.microsoft.com/beta/security/identities/healthIssues
Enumerar sensores	Enumerar sensores	https://graph.microsoft.com/beta/security/identities/sensors

Puede usar webhooks de Microsoft Graph para suscribirse y recibir notificaciones sobre las actualizaciones de las entidades de la API de seguridad de Microsoft Graph.

Pasos siguientes

La API de seguridad de Microsoft Graph puede abrir nuevas formas de interactuar con diferentes soluciones de seguridad de Microsoft y asociados. Para empezar, siga estos pasos:

• Explore en profundidad alerts, tiIndicator (versión preliminar), securityAction (versión preliminar), secureScore y secureScoreControlProfiles.
• Pruebe la API en el Probador de Graph. En Consultas de ejemplo, seleccione mostrar más ejemplos y active la categoría Seguridad.
• Pruebe a suscribirse y recibir notificaciones sobre cambios en entidades.

Contenido relacionado

Code y contribuya a este ejemplo de API de seguridad de Microsoft Graph:

• Ejemplo de PowerShell

Explore otras opciones para conectarse con la API de seguridad de Microsoft Graph:

• Conectores de seguridad de Microsoft Graph para Logic Apps, Flow y Power Apps
• Ejemplos de bloc de notas Jupyter

Interactúe con la comunidad:

• Únase a Tech Community
• Comente en Stack Overflow