Microsoft Security Graph 탐색

  • 10분

Microsoft Graph는 Microsoft 365, Windows, Enterprise Mobility + Security에서 데이터에 액세스하는 데 사용할 수 있는 통합 프로그래밍 기능 모델을 제공합니다. Microsoft Graph의 데이터를 사용하여 조직에 맞게 사용자 지정된 앱을 빌드할 수 있습니다.

Microsoft Graph API 단일 엔드포인트 https://graph.microsoft.com(v1.0 또는 베타 버전)을 제공합니다. REST API 또는 SDK를 사용하여 Microsoft 365 시나리오를 지원하는 엔드포인트에 액세스하고 앱을 빌드할 수 있습니다. 또한 Microsoft Graph에는 사용자 및 디바이스 ID를 관리하고, 액세스, 규정 준수, 보안을 관리하고, 데이터 누출 또는 손실로부터 조직을 보호하는 데 도움이 되는 강력한 서비스 집합이 포함됩니다.

Microsoft Graph의 기능

Microsoft Graph는 REST API 및 클라이언트 라이브러리를 노출하여 다음 Microsoft 클라우드 서비스의 데이터에 액세스합니다.

  • Microsoft 365 핵심 서비스: Bookings, Calendar, Delve, Excel, Microsoft Purview eDiscovery, Microsoft Search, OneDrive, OneNote, Outlook/Exchange, People(Outlook 연락처), Planner, SharePoint, Teams, To Do, Viva Insights
  • Enterprise Mobility + Security 서비스: Advanced Threat Analytics, Advanced Threat Protection, Microsoft Entra ID, Identity Manager 및 Intune
  • Windows 서비스: 활동, 장치, 알림, 유니버설 인쇄
  • Dynamics 365 Business Central 서비스

Microsoft Graph Security API

Microsoft Graph 보안 API는 여러 Microsoft Graph 보안 공급자(보안 공급자 또는 공급자라고도 함)를 연결하는 단일 프로그래밍 인터페이스를 제공하는 중간 서비스(또는 브로커)입니다. Microsoft Graph 보안 API에 대한 요청은 적용 가능한 모든 보안 공급자에 페더레이션됩니다. 결과는 집계되어 다음 다이어그램과 같이 공통 스키마에서 요청 애플리케이션에 반환됩니다.

Microsoft Security Graph 아키텍처를 보여주는 다이어그램.

개발자는 보안 그래프를 사용하여 다음과 같은 지능형 보안 서비스를 빌드할 수 있습니다.

  • 여러 원본의 보안 경고를 통합하고 상관 관계를 지정합니다.
  • SIEM(보안 정보 및 이벤트 관리) 솔루션으로 경고를 스트리밍합니다.
  • Microsoft 보안 솔루션에 위협 지표를 자동으로 보내 경고, 차단 또는 허용 작업을 사용하도록 설정합니다.
  • 문맥 데이터를 활용하여 조사에 정보를 제공할 수 있습니다.
  • 데이터에서 학습하고 보안 솔루션을 학습할 수 있는 기회를 발견합니다.
  • SecOps를 자동화하여 효율성을 높입니다.

Microsoft Graph 보안 API 사용

Microsoft Graph 보안 API에는 두 가지 버전이 있습니다.

  • Microsoft Graph REST API v1.0
  • Microsoft Graph REST API 베타

베타 버전은 아직 미리 보기 상태인 신규 또는 향상된 API를 제공합니다. 미리 보기 상태 API는 변경될 수 있으며 예고 없이 기존 시나리오가 중단될 수 있습니다.

보안 운영 분석가를 위해 두 Microsoft Graph API 버전 모두 runHuntingQuery메서드를 사용하여 고급 헌팅을 지원합니다. 이 메서드는 Kusto 쿼리 언어(KQL)의 쿼리를 포함합니다.

  • Microsoft Defender XDR의 고급 헌팅 예:

    POST https://graph.microsoft.com/v1.0/security/runHuntingQuery

{
    "Query": "DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2"
}

Graph Explorer를 사용하여 헌팅 쿼리를 실행할 수 있습니다.

KQL 헌팅 쿼리를 실행하는 Microsoft Graph Explorer 스크린샷.

추가 읽기 자료 - 자세한 내용은 Microsoft Graph Security API를 참조하세요.