Microsoft Security Graph verkennen
Microsoft Graph biedt een geïntegreerd programmeermodel dat u kunt gebruiken voor toegang tot de gegevens in Microsoft 365, Windows en Enterprise Mobility + Security. U kunt de gegevens in Microsoft Graph gebruiken om aangepaste apps voor uw organisatie te bouwen.
De Microsoft Graph API biedt één eindpunt ( https://graph.microsoft.com v1.0- of bètaversies). U kunt REST API's of SDK's gebruiken voor toegang tot het eindpunt en het bouwen van apps die ondersteuning bieden voor Microsoft 365-scenario's. Microsoft Graph bevat ook een krachtige set services die gebruikers- en apparaatidentiteit, toegang, naleving en beveiliging beheren en organisaties beschermen tegen gegevenslekken of -verlies.
Wat is er in Microsoft Graph?
Microsoft Graph maakt REST API's en clientbibliotheken beschikbaar voor toegang tot gegevens in de volgende Microsoft-cloudservices:
- Microsoft 365-kernservices: Bookings, Calendar, Delve, Excel, Microsoft Purview eDiscovery, Microsoft Search, OneDrive, OneNote, Outlook/Exchange, Mensen (Outlook-contactpersonen), Planner, SharePoint, Teams, To Do, Viva Insights
- Enterprise Mobility + Security-services: Advanced Threat Analytics, Advanced Threat Protection, Microsoft Entra ID, Identity Manager en Intune
- Windows-services: activiteiten, apparaten, meldingen, Universal Print
- Dynamics 365 Business Central-services
Security-API voor Microsoft Graph
De Microsoft Graph-beveiligings-API is een intermediaire service (of broker) die één programmatische interface biedt om meerdere Microsoft Graph-beveiligingsproviders (ook wel beveiligingsproviders of providers genoemd) te verbinden. Aanvragen voor de Microsoft Graph-beveiligings-API worden gefedereerd voor alle toepasselijke beveiligingsproviders. De resultaten worden samengevoegd en geretourneerd naar de aanvragende toepassing in een gemeenschappelijk schema, zoals wordt weergegeven in het volgende diagram.
Ontwikkelaars kunnen Security Graph gebruiken om intelligente beveiligingsservices te bouwen die:
- Beveiligingswaarschuwingen uit meerdere bronnen integreren en correleren.
- Stream waarschuwingen naar SIEM-oplossingen (Security Information and Event Management).
- Automatisch bedreigingsindicatoren verzenden naar Microsoft-beveiligingsoplossingen om waarschuwingen, blokkeren of toestaan in te schakelen.
- Ontgrendel contextuele gegevens om onderzoeken te informeren.
- Ontdek mogelijkheden om te leren van de gegevens en uw beveiligingsoplossingen te trainen.
- Automatiseer SecOps voor een grotere efficiëntie.
De Microsoft Graph Beveiligings-API gebruiken
Er zijn twee versies van de Microsoft Graph-beveiligings-API.
- Microsoft Graph REST API v1.0
- Microsoft Graph REST API bèta
De bètaversie biedt nieuwe of verbeterde API's die nog steeds de preview-status hebben. API's in de preview-status zijn onderhevig aan wijzigingen en kunnen bestaande scenario's zonder kennisgeving verbreken.
Voor Security Operations Analysts ondersteunen beide Microsoft Graph API-versies geavanceerde opsporing met behulp van de methode runHuntingQuery . Deze methode bevat een query in Kusto-querytaal (KQL).
Voorbeeld van geavanceerde opsporing in Microsoft Defender XDR:
POST https://graph.microsoft.com/v1.0/security/runHuntingQuery { "Query": "DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2" }
U kunt Graph Explorer gebruiken om de opsporingsquery uit te voeren:
Meer informatie: zie Microsoft Graph beveiligings-API voor meer informatie.