Explore o Gráfico de Segurança da Microsoft

  • 10 minutos

O Microsoft Graph fornece um modelo de programação unificado que você pode usar para acessar os dados no Microsoft 365, Windows e Enterprise Mobility + Security. Você pode usar os dados no Microsoft Graph para criar aplicativos personalizados para sua organização.

A API do Microsoft Graph oferece um único ponto https://graph.microsoft.com de extremidade (versões v1.0 ou beta). Você pode usar APIs REST ou SDKs para acessar o ponto de extremidade e criar aplicativos que ofereçam suporte a cenários do Microsoft 365. O Microsoft Graph também inclui um poderoso conjunto de serviços que gerenciam a identidade, o acesso, a conformidade e a segurança de usuários e dispositivos e ajudam a proteger as organizações contra vazamento ou perda de dados.

O que contém o Microsoft Graph?

O Microsoft Graph expõe APIs REST e bibliotecas de cliente para acessar dados nos seguintes serviços de nuvem da Microsoft:

  • Serviços principais do Microsoft 365: Reservas, Calendário, Delve, Excel, Microsoft Purview eDiscovery, Microsoft Search, OneDrive, OneNote, Outlook/Exchange, Pessoas (contactos do Outlook), Planner, SharePoint, Teams, To Do, Viva Insights
  • Serviços Enterprise Mobility + Security: Análise Avançada de Ameaças, Proteção Avançada contra Ameaças, ID do Microsoft Entra, Identity Manager e Intune
  • Serviços Windows: atividades, dispositivos, notificações, Universal Print
  • Serviços do Dynamics 365 Business Central

API de Segurança do Microsoft Graph

A API de segurança do Microsoft Graph é um serviço intermediário (ou broker) que fornece uma única interface programática para conectar vários provedores de segurança do Microsoft Graph (também chamados de provedores ou provedores de segurança). As solicitações para a API de segurança do Microsoft Graph são federadas a todos os provedores de segurança aplicáveis. Os resultados são agregados e retornados ao aplicativo solicitante em um esquema comum, conforme mostrado no diagrama a seguir.

Diagrama mostrando a arquitetura do Microsoft Security Graph.

Os programadores podem utilizar o Gráfico de Segurança para criar serviços de segurança inteligentes que:

  • Integre e correlacione alertas de segurança de várias fontes.
  • Transmita alertas para soluções de gerenciamento de eventos e informações de segurança (SIEM).
  • Envie automaticamente indicadores de ameaças para as soluções de segurança da Microsoft para ativar ações de alerta, bloquear ou permitir.
  • Desbloqueie dados contextuais para informar investigações.
  • Descubra oportunidades para aprender com os dados e treinar suas soluções de segurança.
  • Automatize o SecOps para maior eficiência.

Use the Microsoft Graph Security API (Utilizar a API de Segurança do Microsoft Graph)

Existem duas versões da API de Segurança do Microsoft Graph.

  • API REST do Microsoft Graph v1.0
  • API REST do Microsoft Graph Beta

A versão beta fornece APIs novas ou aprimoradas que ainda estão em status de visualização. As APIs no status de visualização estão sujeitas a alterações e podem quebrar cenários existentes sem aviso prévio.

Para analistas de operações de segurança, ambas as versões da API do Microsoft Graph oferecem suporte à caça avançada usando o método runHuntingQuery . Este método inclui uma consulta em Kusto Query Language (KQL).

  • Exemplo de caça avançada no Microsoft Defender XDR:

    POST https://graph.microsoft.com/v1.0/security/runHuntingQuery

{
    "Query": "DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2"
}

Você pode usar o Graph Explorer para executar a consulta de caça:

Captura de ecrã do Microsoft Graph Explorer a executar a consulta de caça KQL.

Leitura adicional - Para obter mais informações, consulte A API de segurança do Microsoft Graph.