Изучение Microsoft Security Graph
Microsoft Graph предоставляет унифицированную модель программирования, которую можно использовать для доступа к данным в Microsoft 365, Windows и Enterprise Mobility + Security. Данные в Microsoft Graph можно использовать для создания настраиваемых приложений для вашей организации.
API Microsoft Graph предлагает одну конечную точку https://graph.microsoft.com (версии 1.0 или бета-версии). Используйте REST API или пакеты SDK для доступа к конечной точке и создания приложений, поддерживающих сценарии Microsoft 365. Microsoft Graph также включает мощный набор служб, которые управляют удостоверениями пользователей и устройств, доступом, соответствием и безопасностью и помогают организациям от утечки или потери данных.
Что такое Microsoft Graph?
Microsoft Graph предоставляет REST API и клиентские библиотеки для доступа к данным в следующих службах Microsoft:
- Основные службы Microsoft 365: Bookings, Calendar, Delve, Excel, Microsoft Purview eDiscovery, Поиск (Майкрософт), OneDrive, OneNote, Outlook/Exchange, People (Outlook), Планировщик, SharePoint, Teams, Список дел, Viva Insights
- Enterprise Mobility + Security services: Advanced Threat Analytics, Advanced Threat Protection, Microsoft Entra ID, Identity Manager и Intune
- Службы Windows: действия, устройства, уведомления, универсальная печать
- Службы Dynamics 365 Business Central
Microsoft Graph Security API
API безопасности Microsoft Graph — это промежуточная служба (или брокер), которая предоставляет один программный интерфейс для подключения нескольких поставщиков безопасности Microsoft Graph (также называемых поставщиками или поставщиками безопасности). Запросы к API безопасности Microsoft Graph федеративны ко всем применимым поставщикам безопасности. Результаты агрегируются и возвращаются в запрашивающее приложение в общей схеме, как показано на следующей схеме.
Разработчики могут использовать Security Graph для создания интеллектуальных служб безопасности, которые:
- Интегрируют и сопоставляют оповещения системы безопасности из нескольких источников.
- Потоковая передача оповещений в решения для управления сведениями и событиями безопасности (SIEM).
- Автоматически отправлять индикаторы угроз в решения безопасности Майкрософт для включения оповещений, блокировки или разрешения действий.
- Разблокируют контекстные данные для информирования расследований.
- Узнайте о возможностях обучения данных и обучите решения по безопасности.
- Автоматизируют операции безопасности для повышения эффективности.
Использование API безопасности Microsoft Graph
Существует две версии API безопасности Microsoft Graph.
- REST API Microsoft Graph, версия 1.0
- REST API Microsoft Graph, бета-версия
Бета-версия предоставляет новые или расширенные API, которые по-прежнему находятся в состоянии предварительной версии. Интерфейсы API в предварительной версии могут изменяться и могут прерывать существующие сценарии без уведомления.
Для аналитиков операций безопасности обе версии API Microsoft Graph поддерживают расширенную охоту с помощью метода runHuntingQuery . Этот метод включает запрос в язык запросов Kusto (KQL).
Пример расширенной охоты в XDR в Microsoft Defender:
POST https://graph.microsoft.com/v1.0/security/runHuntingQuery { "Query": "DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2" }
Обозреватель Graph можно использовать для выполнения запроса на поиск:
Дополнительные сведения см. в API безопасности Microsoft Graph.