探索 Microsoft Security Graph
Microsoft Graph 提供統一的可程式性模型,可用來在 Microsoft 365、Windows 和 Enterprise Mobility + Security 中存取資料。 您可以使用 Microsoft Graph 中的資料,為組織組建自訂應用程式。
Microsoft Graph API 提供單一端點,https://graph.microsoft.com (v1.0 或技術預覽版版本)。 您可以使用 REST API 或 SDK 來存取端點,並建立支援 Microsoft 365 情節的應用程式。 Microsoft Graph 還內有一套功能強大的服務,可管理使用者和裝置身分識別、存取、合規性及安全性,並協助保護組織免於資料洩漏或遺失。
Microsoft Graph 是什麼?
Microsoft Graph 公開 REST API 和用戶端程式庫,以存取下列 Microsoft 雲端服務上的資料:
- Microsoft 365 核心服務:Bookings、行事曆、Excel、Microsoft Purview 電子文件探索、Microsoft 搜尋、OneDrive、OneNote、Outlook/Exchange、People (Outlook contacts)、Planner、SharePoint、Teams、To Do 和 Viva Insights
- Enterprise Mobility + Security 服務:進階威脅分析、進階威脅防護、Microsoft Entra ID、Identity Manager 和 Intune
- Windows 服務:活動、裝置、通知和通用列印
- Dynamics 365 Business Central 服務
Microsoft Graph 安全性 API。
Microsoft Graph 安全性 API 是中繼服務 (又稱訊息代理程式),提供單一程式設計介面,連接多個 Microsoft Graph 安全性提供者 (又稱為安全性供應商或提供者)。 Microsoft Graph 安全性 API 的要求會與所有適用的安全性提供者同盟。 系統會匯總結果並傳回至通用結構描述中的要求應用程式,如下圖所示。
開發人員可以使用 Security Graph 建置智慧型安全性服務,它可以:
- 整合和相互關聯來自多個來源的安全性警示。
- 將警示串流到安全性資訊與事件管理 (SIEM) 解決方案。
- 自動將威脅指標傳送至 Microsoft 安全性解決方案,進而啟用警示、封鎖或允許動作。
- 解除鎖定內容相關資料以通知調查。
- 探索從資料中學習的機會,並訓練您的安全性解決方案。
- 自動化 SecOps 以提高效率。
使用 Microsoft Graph 安全性 API
Microsoft Graph 安全性 API 有兩個版本。
- Microsoft Graph REST API v1.0
- Microsoft Graph REST API 搶鮮版 (Beta)
搶鮮版提供仍處於預覽狀態之新的或增強的 API。 預覽狀態中的 API 可能會變更,且可能會中斷現有的案例,而無需注意。
針對安全性作業分析師,Microsoft Graph API 版本均支援使用 runHuntingQuery 方法進行進階搜捕。 此方法包含 Kusto 查詢語言 (KQL) 中的查詢。
下列是 Microsoft Defender XDR 中的進階搜補範例:
POST https://graph.microsoft.com/v1.0/security/runHuntingQuery { "Query": "DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2" }
您可以使用 Graph 總管執行搜捕查詢:
其他閱讀 - 如需詳細資訊,請參閱 Microsoft Graph 安全性 API。