Utforska Microsoft Security Graph

  • 10 minuter

Microsoft Graph tillhandahåller en enhetlig programmeringsmodell som du kan använda för att komma åt data i Microsoft 365, Windows och Enterprise Mobility + Security. Du kan använda data i Microsoft Graph för att skapa anpassade appar för din organisation.

Microsoft Graph API erbjuder en enda slutpunkt ( https://graph.microsoft.com antingen v1.0 eller betaversioner). Du kan använda REST-API:er eller SDK:er för att komma åt slutpunkten och skapa appar som stöder Microsoft 365-scenarier. Microsoft Graph innehåller också en kraftfull uppsättning tjänster som hanterar användar- och enhetsidentitet, åtkomst, efterlevnad och säkerhet och hjälper till att skydda organisationer mot dataläckage eller förlust.

Vad finns i Microsoft Graph?

Microsoft Graph exponerar REST-API:er och klientbibliotek för åtkomst till data på följande Microsoft-molntjänster:

  • Microsoft 365-kärntjänster: Bokningar, Kalender, Delve, Excel, Microsoft Purview eDiscovery, Microsoft Search, OneDrive, OneNote, Outlook/Exchange, Personer (Outlook-kontakter), Planner, SharePoint, Teams, To Do, Viva Insights
  • Enterprise Mobility + Security Services: Advanced Threat Analytics, Advanced Threat Protection, Microsoft Entra ID, Identity Manager och Intune
  • Windows-tjänster: aktiviteter, enheter, meddelanden, universell utskrift
  • Dynamics 365 Business Central-tjänster

Microsoft Graph Security API

Microsoft Graph-säkerhets-API:et är en mellanliggande tjänst (eller koordinator) som tillhandahåller ett enda programmatiskt gränssnitt för att ansluta flera Microsoft Graph-säkerhetsleverantörer (kallas även säkerhetsleverantörer eller leverantörer). Begäranden till Microsoft Graph-säkerhets-API:et federeras till alla tillämpliga säkerhetsleverantörer. Resultaten aggregeras och returneras till det begärande programmet i ett gemensamt schema, enligt följande diagram.

Diagram showing the Microsoft Security Graph architecture.

Utvecklare kan använda Security Graph för att skapa intelligenta säkerhetstjänster som:

  • Integrera och korrelera säkerhetsaviseringar från flera källor.
  • Strömma aviseringar till siem-lösningar (säkerhetsinformation och händelsehantering).
  • Skicka automatiskt hotindikatorer till Microsofts säkerhetslösningar för att aktivera aviseringar, blockera eller tillåta åtgärder.
  • Lås upp kontextuella data för att informera undersökningar.
  • Upptäck möjligheter att lära av data och träna dina säkerhetslösningar.
  • Automatisera SecOps för bättre effektivitet.

Använda Microsoft Graph Security API

Det finns två versioner av Microsoft Graph-API för säkerhet.

  • Microsoft Graph REST API v1.0
  • Microsoft Graph REST API Beta

Betaversionen innehåller nya eller förbättrade API:er som fortfarande är i förhandsversionsstatus. API:er i förhandsversionsstatus kan komma att ändras och kan bryta befintliga scenarier utan föregående meddelande.

För Security Operations-analytiker stöder båda Microsoft Graph API-versionerna avancerad jakt med metoden runHuntingQuery . Den här metoden innehåller en fråga i Kusto-frågespråk (KQL).

  • Exempel på avancerad jakt i Microsoft Defender XDR:

    POST https://graph.microsoft.com/v1.0/security/runHuntingQuery

{
    "Query": "DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2"
}

Du kan använda Graph Explorer för att köra jaktfrågan:

Screenshot of the Microsoft Graph Explorer running the KQL hunting query.

Ytterligare läsning – Mer information finns i Microsoft Graph-API för säkerhet.