Explorer Microsoft Security Graph
Microsoft Graph fournit un modèle de programmabilité unifié que vous pouvez utiliser pour accéder aux données disponibles dans Microsoft 365, Windows et Enterprise Mobility + Security. Vous pouvez utiliser les données dans Microsoft Graph afin de créer des applications personnalisées pour votre entreprise.
L’API Microsoft Graph propose un point de terminaison unique : https://graph.microsoft.com (v1.0 ou versions bêta). Vous pouvez utiliser des API REST ou des kits de développement logiciel (SDK) pour accéder au point de terminaison et créer des applications qui prennent en charge des scénarios Microsoft 365. Microsoft Graph comprend également un ensemble puissant de services qui gèrent l’identité des utilisateurs et des appareils, l’accès, la conformité et la sécurité, et contribuent à protéger les entreprises contre la fuite ou la perte de données.
Que contient Microsoft Graph ?
Microsoft Graph expose les API REST et les bibliothèques clientes pour accéder aux données des services cloud Microsoft suivants :
- Services essentiels Microsoft 365 : Réservations, Calendrier, Delve, Excel, Microsoft Purview eDiscovery, Recherche Microsoft, OneDrive, OneNote, Outlook/Exchange, Personnes (contacts Outlook), Agenda, SharePoint, Teams, À faire, Viva Insights
- Services Microsoft Enterprise Mobility + Security Advanced Threat Analytics, Advanced Threat Protection, Microsoft Entra ID, Identity Manager et Intune
- Services Windows : activités, appareils, notifications et Impression universelle
- Services Dynamics 365 Business Central
API de sécurité Microsoft Graph
L’API de sécurité Microsoft Graph est un service intermédiaire (ou répartiteur) qui fournit une interface programmatique unique pour connecter plusieurs fournisseurs de sécurité Microsoft Graph (aussi appelés fournisseurs de sécurité ou fournisseurs). Les demandes adressées à l’API de sécurité Microsoft Graph sont fédérées à tous les fournisseurs de sécurité applicables. Les résultats sont agrégés et retournés à l’application demandeuse dans un schéma courant, comme illustré dans le diagramme suivant.
Les développeurs peuvent utiliser Security Graph pour créer des services de sécurité intelligents qui :
- Intègrent et mettent en corrélation les alertes de sécurité provenant de plusieurs sources.
- Diffusent les alertes aux solutions de gestion des informations et des événements de sécurité (SIEM).
- Envoient automatiquement des indicateurs de menace aux solutions de sécurité Microsoft pour activer les actions d’alerte, de blocage ou d’autorisation.
- Déverrouillent les données contextuelles rendre les investigations plus claires.
- Découvrent des opportunités d’apprentissage à partir des données et forment vos solutions de sécurité.
- Automatisent SecOps pour plus d’efficacité.
Utiliser l’API Sécurité Microsoft Graph
Il existe deux versions de l’API de sécurité Microsoft Graph.
- API REST Microsoft Graph v1.0
- API REST Microsoft Graph bêta
La version bêta fournit des API nouvelles ou améliorées qui sont toujours en préversion. Les API en préversion sont susceptibles d’être modifiées et peuvent interrompre les scénarios existants sans préavis.
Pour les analystes des opérations de sécurité, les versions de l’API Microsoft Graph prennent en charge le repérage avancé à l’aide de la méthode runHuntingQuery. Cette méthode inclut une requête en Langage de requête Kusto (KQL).
Exemple de repérage avancé dans Microsoft Defender XDR :
POST https://graph.microsoft.com/v1.0/security/runHuntingQuery { "Query": "DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2" }
Vous pouvez utiliser Graph Explorer pour exécuter la requête de repérage :
Lecture supplémentaire : pour plus d’informations, consultez API de sécurité Microsoft Graph.