了解 Microsoft Security Graph
Microsoft Graph 提供了一个统一的可编程性模型,你可以使用该模型访问 Microsoft 365、Windows 和企业移动性 + 安全性中的数据。 可以使用 Microsoft Graph 中的数据为组织生成自定义应用。
Microsoft Graph API 提供单个终结点 https://graph.microsoft.com(v1.0 或 beta 版本)。 可以使用 REST API 或 SDK 来访问终结点,并构建支持 Microsoft 365 场景的应用。 Microsoft Graph 还包括一组功能强大的服务,可以管理用户和设备标识、访问、合规性、安全性,并帮助保护组织免受数据泄露或丢失的风险。
Microsoft Graph 中有哪些功能?
Microsoft Graph 公开 REST API 和客户端库以访问以下 Microsoft 云服务上的数据:
- Microsoft 365 核心服务:Bookings、Calendar、Delve、Excel、Microsoft Purview 电子数据展示、Microsoft Search、OneDrive、OneNote、Outlook/Exchange、People(Outlook 联系人)、Planner、SharePoint、Teams、To Do、Viva Insights
- 企业移动性 + 安全性服务:高级威胁分析、高级威胁防护、Microsoft Entra ID、Identity Manager 和 Intune
- Windows 服务:活动、设备、通知、通用打印
- Dynamics 365 Business Central 服务
Microsoft Graph 安全性 API
Microsoft Graph 安全性 API 是一种中介服务(或代理),它提供单个编程接口来连接多个 Microsoft Graph 安全提供程序(也称为安全提供程序或提供程序)。 对 Microsoft Graph 安全性 API 的请求与所有适用的安全提供程序联合。 结果被聚合并返回到通用架构中请求的应用程序,如下图所示。
开发人员可以使用 Security Graph 生成智能安全服务,以便:
- 集成并关联来自多个源的安全警报。
- 将警报流式传输到安全信息和事件管理 (SIEM) 解决方案。
- 自动将威胁指示器发送到 Microsoft 安全解决方案,以启用警报、阻止或允许操作。
- 解锁上下文数据以告知调查。
- 发现从数据中学习和训练安全解决方案的机会。
- 自动执行 SecOps 以提高效率。
使用 Microsoft Graph 安全性 API
Microsoft Graph 安全性 API 有两个版本。
- Microsoft Graph REST API v1.0
- Microsoft Graph REST API Beta
beta 版本提供仍处于预览状态的新 API 或增强 API。 处于预览状态的 API 可能会更改,并且可能会中断现有方案,而不会另行通知。
对于安全运营分析师,两个 Microsoft Graph API 版本都支持使用 runHuntingQuery 方法进行高级搜寻。 此方法包括使用 Kusto 查询语言 (KQL) 进行查询。
Microsoft Defender XDR 中高级搜寻的示例:
POST https://graph.microsoft.com/v1.0/security/runHuntingQuery { "Query": "DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2" }
可以使用 Graph Explorer 运行搜寻查询:
其他阅读 - 有关详细信息,请参阅 Microsoft Graph 安全性 API。