Utiliser l’API de sécurité Microsoft Graph

L’API de sécurité Microsoft Graph fournit une interface et un schéma unifiés pour s’intégrer aux solutions de sécurité de Microsoft et des partenaires de l’écosystème. Cela permet aux clients de simplifier les opérations de sécurité et mettre en place une meilleure défense contre les nouvelles menaces informatiques. L’API de sécurité Microsoft Graph fédère les requêtes à tous les fournisseurs de sécurité intégrés et agrège les réponses. Utilisez l’API de sécurité Microsoft Graph pour créer des applications qui :

  • Consolider et mettre en corrélation les alertes de sécurité provenant de plusieurs sources.
  • Extrayez et examinez tous les incidents et alertes provenant de services qui font partie de Microsoft 365 Defender ou qui sont intégrés à Celui-ci.
  • déverrouillent des données contextuelles pour documenter les enquêtes.
  • Automatisez les tâches de sécurité, les processus métier, les flux de travail et les rapports.
  • Envoyer des indicateurs de menace aux produits Microsoft pour des détections personnalisées.
  • Appelez des actions à en réponse aux nouvelles menaces.
  • Fournir une visibilité sur les données de sécurité pour permettre une gestion proactive des risques.

L’API de sécurité Microsoft Graph fournit des fonctionnalités clés, comme décrit dans les sections suivantes.

Recherche avancée de menaces

La chasse avancée est un outil de chasse aux menaces basé sur des requêtes qui vous permet d’explorer jusqu’à 30 jours de données brutes. Vous pouvez inspecter de manière proactive les événements de votre réseau pour localiser les indicateurs et entités de menace. L’accès flexible aux données facilite le repérage sans contrainte pour les menaces connues et potentielles.

Utilisez runHuntingQuery pour exécuter une requête Langage de requête Kusto (KQL) sur des données stockées dans Microsoft 365 Defender. Utilisez le jeu de résultats retourné pour enrichir une investigation existante ou pour découvrir les menaces non détectées dans votre réseau.

Quotas et allocation de ressources

Les conditions suivantes concernent toutes les requêtes.

  1. Les requêtes explorent et retournent des données des 30 derniers jours.
  2. Les résultats peuvent retourner jusqu’à 100 000 lignes.
  3. Vous pouvez effectuer jusqu’à au moins 45 appels par minute et par locataire. Le nombre d’appels varie selon le locataire en fonction de sa taille.
  4. Des ressources processeur sont allouées à chaque locataire, en fonction de la taille du locataire. Les requêtes sont bloquées si le locataire atteint 100 % des ressources allouées jusqu’au terme du cycle de 15 minutes suivant. Pour éviter les requêtes bloquées en raison d’une consommation excessive, suivez les instructions fournies dans Optimiser vos requêtes pour éviter d’atteindre les quotas de processeur.
  5. Si une seule requête s’exécute pendant plus de trois minutes, elle expire et retourne une erreur.
  6. Un 429 code de réponse HTTP indique que vous avez atteint les ressources processeur allouées, soit par nombre de requêtes envoyées, soit par temps d’exécution alloué. Lisez le corps de la réponse pour comprendre la limite que vous avez atteinte.

Alertes

Les alertes sont des avertissements détaillés concernant les activités suspectes dans le locataire d’un client que Microsoft ou les fournisseurs de sécurité partenaires ont identifiés et marqués pour action. Les attaques utilisent généralement différentes techniques contre différents types d’entités, tels que les appareils, les utilisateurs et les boîtes aux lettres. Le résultat est des alertes de plusieurs fournisseurs de sécurité pour plusieurs entités dans le locataire. Le regroupement des alertes individuelles pour obtenir des informations sur une attaque peut être difficile et fastidieux.

L’API de sécurité offre deux types d’alertes qui agrègent d’autres alertes provenant de fournisseurs de sécurité et facilitent l’analyse des attaques et la détermination de la réponse :

  • Alertes et incidents : il s’agit de la dernière génération d’alertes dans l’API de sécurité Microsoft Graph. Ils sont représentés par la ressource d’alerte et sa collection, ressource d’incident , définie dans l’espace microsoft.graph.security de noms.
  • Alertes héritées : il s’agit de la première génération d’alertes dans l’API de sécurité Microsoft Graph. Elles sont représentées par la ressource d’alerte définie dans l’espace de microsoft.graph noms .

Alertes et incidents

Ces ressources d’alerte extrayent d’abord les données d’alerte des services du fournisseur de sécurité, qui font partie de Microsoft 365 Defender ou sont intégrés à celui-ci. Ensuite, ils consomment les données pour retourner des indices riches et précieux sur une attaque terminée ou en cours, les ressources impactées et les preuves associées. En outre, ils mettent automatiquement en corrélation d’autres alertes avec les mêmes techniques d’attaque ou le même attaquant dans un incident pour fournir un contexte plus large d’une attaque. Ils recommandent des actions de réponse et de correction, offrant une actionabilité cohérente entre tous les différents fournisseurs. Le contenu enrichi permet aux analystes d’examiner plus facilement les menaces collectivement et d’y répondre.

Les alertes des fournisseurs de sécurité suivants sont disponibles via ces alertes et incidents riches :

Alertes héritées

Remarque

L’API d’alertes héritées est déconseillée et sera supprimée d’ici avril 2026. Nous vous recommandons de migrer vers la nouvelle API d’alertes et d’incidents .

Les ressources d’alerte héritées fédèrent l’appel des fournisseurs de sécurité Azure et Microsoft 365 Defender pris en charge. Ils regroupent les données d’alerte courantes entre les différents domaines pour permettre aux applications d’unifier et de simplifier la gestion des problèmes de sécurité dans toutes les solutions intégrées. Ils permettent aux applications de mettre en corrélation les alertes et le contexte pour améliorer la protection et la réponse aux menaces.

La version héritée de l’API de sécurité offre la ressource d’alerte qui fédère l’appel des fournisseurs de sécurité Azure et Microsoft 365 Defender pris en charge. Cette ressource d’alerte agrège les données d’alerte communes aux différents domaines pour permettre aux applications d’unifier et de rationaliser la gestion des problèmes de sécurité dans toutes les solutions intégrées. Cela permet aux applications de mettre en corrélation les alertes et le contexte pour améliorer la protection et la réponse aux menaces.

Avec la fonctionnalité de mise à jour des alertes, vous pouvez synchroniser les status d’alertes spécifiques sur différents produits et services de sécurité intégrés à l’API de sécurité Microsoft Graph en mettant à jour votre entité d’alerte.

Les alertes des fournisseurs suivants sont disponibles via la ressource d’alerte . La prise en charge des alertes GET, des alertes PATCH et de l’abonnement (via des webhooks) est indiquée dans le tableau suivant.

Fournisseur de sécurité

Obtenir une alerte

Alerte de correctif logiciel

S’abonner à l’alerte

Protection Microsoft Entra ID

Problème de fichier *

Microsoft 365

Problème de fichier

Problème de fichier

Microsoft Defender for Cloud Apps

Problème de fichier *

Microsoft Defender pour point de terminaison **

Problème de fichier

Microsoft Defender pour l’identité ***

Problème de fichier *

Microsoft Sentinel (anciennement Azure Sentinel)

Non pris en charge dans Microsoft Sentinel

Note: Les nouveaux fournisseurs s’intègrent en permanence à l’écosystème de sécurité Microsoft Graph. Pour demander de nouveaux fournisseurs ou obtenir un support étendu auprès de fournisseurs existants, déposez un problème dans le dépôt GitHub de sécurité Microsoft Graph.

* Problème de fichier : les status d’alerte sont mises à jour dans les applications intégrées de l’API de sécurité Microsoft Graph, mais ne sont pas reflétées dans l’expérience de gestion du fournisseur.

** Microsoft Defender pour point de terminaison nécessite des rôles d’utilisateur supplémentaires à ceux requis par l’API de sécurité Microsoft Graph. Seuls les utilisateurs des rôles Microsoft Defender pour point de terminaison et de l’API de sécurité Microsoft Graph peuvent accéder aux données Microsoft Defender pour point de terminaison. Étant donné que l’authentification d’application uniquement n’est pas limitée par cela, nous vous recommandons d’utiliser un jeton d’authentification d’application uniquement.

Microsoft Defender pour Identity alertes sont disponibles via l’intégration Microsoft Defender for Cloud Apps. Cela signifie que vous recevez des alertes Microsoft Defender pour Identity uniquement si vous avez rejoint Unified SecOps et connecté Microsoft Defender pour Identity à Microsoft Defender for Cloud Apps. En savoir plus sur comment intégrer Microsoft Defender pour Identity et Microsoft Defender for Cloud Apps.

Simulation et entraînement des attaques

La simulation d’attaque et la formation font partie de Microsoft Defender pour Office 365. Ce service permet aux utilisateurs d’un client de faire face à une attaque de hameçonnage réaliste et d’en tirer des enseignements. Les expériences de formation et de simulation d’ingénierie sociale pour les utilisateurs finaux permettent de réduire le risque de violation des utilisateurs via ces techniques d’attaque. L’API de simulation d’attaques et de formation permet aux administrateurs clients d’afficher des exercices et des formations de simulation lancées, et d’obtenir des rapports sur les informations dérivées sur les comportements en ligne des utilisateurs dans les simulations de hameçonnage.

eDiscovery

Microsoft Purview eDiscovery (Premium) offre un flux de travail de bout en bout qui permet de conserver, collecter, examiner, analyser et exporter du contenu qui répond aux enquêtes internes et externes de votre organisation.

Identités

Problèmes d’intégrité

L’API des problèmes d’intégrité Microsoft Defender pour Identity vous permet de surveiller les status d’intégrité de vos capteurs et agents au sein de votre infrastructure d’identité hybride. Vous pouvez utiliser l’API des problèmes d’intégrité pour récupérer des informations sur les problèmes d’intégrité actuels de vos capteurs, telles que le type de problème, le status, la configuration et la gravité. Vous pouvez également utiliser cette API pour identifier et résoudre les problèmes susceptibles d’affecter la fonctionnalité ou la sécurité de vos capteurs et agents.

Note: L’API des problèmes d’intégrité Microsoft Defender pour Identity est disponible uniquement sur le plan Defender pour Identity ou les plans de service de sécurité Microsoft 365 E5/A5/G5/F5.

Capteurs

L’API de gestion des capteurs Defender pour Identity vous permet de créer des rapports détaillés sur les capteurs de votre espace de travail, notamment des informations sur le nom du serveur, la version du capteur, le type, l’état et l’intégrité status. Il vous permet également de gérer les paramètres du capteur, tels que l’ajout de descriptions, l’activation ou la désactivation des mises à jour retardées et la spécification du contrôleur de domaine auquel le capteur se connecte pour interroger l’ID Entra.

Incidents

Un incident est une collection d’alertes corrélées et de données associées qui constituent l’histoire d’une attaque. La gestion des incidents fait partie de Microsoft 365 Defender et est disponible dans le portail Microsoft 365 Defender (https://security.microsoft.com/).

Les services et applications Microsoft 365 créent des alertes lorsqu’ils détectent un événement ou une activité suspect ou malveillant. Les alertes individuelles fournissent des indices précieux sur une attaque terminée ou en cours. Toutefois, les attaques utilisent généralement différentes techniques contre différents types d’entités, comme les appareils, les utilisateurs et les boîtes aux lettres. Le résultat est plusieurs alertes pour plusieurs entités dans votre client.

Étant donné que l’agrégation des alertes individuelles pour obtenir des informations sur une attaque peut être difficile et fastidieuse, Microsoft 365 Defender agrège automatiquement les alertes et les informations associées dans un incident.

Le regroupement d’alertes associées dans un incident vous donne une vue complète d’une attaque. Par exemple, vous pouvez voir :

  • Où l’attaque a démarré.
  • Quelles tactiques ont été utilisées.
  • Jusqu’où l’attaque s’est déroulée dans votre locataire.
  • L’étendue de l’attaque, par exemple le nombre d’appareils, d’utilisateurs et de boîtes aux lettres qui ont été affectés.
  • Toutes les données associées à l’attaque.

La ressource incident et ses API vous permettent de trier les incidents afin de créer une réponse de cybersécurité éclairée. Il expose une collection d’incidents, avec leurs alertes associées, qui ont été marqués dans votre réseau, dans l’intervalle de temps que vous avez spécifié dans votre stratégie de rétention de l’environnement.

Protection des informations

L’API Microsoft Graph d’analyse des menaces permet aux organisations d’évaluer la menace reçue par tout utilisateur chez un client. Cela donne la possibilité aux clients de signaler des messages indésirables, les URL d’hameçonnage ou les pièces jointes malveillantes qu’ils reçoivent sur Microsoft. Le résultat de la vérification de stratégie et le résultat de la réanalyse peuvent aider les administrateurs client à comprendre la stratégie d’analyse de la menace et à ajuster leur stratégie de l’organisation.

Gestion des enregistrements

La plupart des organisations doivent gérer les données pour se conformer de manière proactive aux réglementations du secteur et aux stratégies internes, réduire les risques en cas de litige ou de violation de la sécurité, et permettre aux utilisateurs de partager efficacement et agilement les connaissances qui leur sont actuelles et pertinentes. Vous pouvez utiliser les API de gestion des enregistrements pour appliquer systématiquement des étiquettes de rétention à différents types de contenu qui nécessitent des paramètres de rétention différents. Par exemple, vous pouvez configurer le début de la période de rétention à partir du moment où le contenu a été créé, modifié pour la dernière fois, étiqueté ou lorsqu’un événement se produit pour un type d’événement particulier. En outre, vous pouvez utiliser des descripteurs de plan de fichiers pour améliorer la gestion de ces étiquettes de rétention.

Degré de sécurisation

Microsoft Secure Score est une solution d'analyse de sécurité qui vous donne une visibilité sur votre portefeuille de sécurité et sur la façon de l'améliorer. Avec un score unique, vous pouvez mieux comprendre ce que vous avez fait pour réduire vos risques dans les solutions Microsoft. Vous pouvez également comparer votre score avec d’autres organisations et voir comment votre note a évolué au fil du temps. Les entités sécurité de Microsoft Graph secureScore et secureScoreControlProfile vous aident à équilibrer les besoins de sécurité et de productivité de vos organization tout en activant la combinaison appropriée de fonctionnalités de sécurité. Vous pouvez également prédire ce que sera votre score une fois que vous avez adopté certaines fonctionnalités de sécurité.

Threat Intelligence

Microsoft Defender Threat Intelligence fournit des renseignements sur les menaces de classe mondiale pour vous aider à protéger vos organization contre les cybermenaces modernes. Vous pouvez utiliser Threat Intelligence pour identifier les adversaires et leurs opérations, accélérer la détection et la correction, et améliorer vos investissements et workflows de sécurité.

Les API de renseignement sur les menaces vous permettent d’opérationnaliser l’intelligence trouvée dans l’interface utilisateur. Cela inclut l’intelligence finale sous la forme d’articles et de profils intel, l’intelligence machine comme les ioC et les verdicts de réputation, et des données d’enrichissement telles que le DNS passif, les cookies, les composants et les suivis.

Cas d’utilisation courants

Voici quelques-unes des demandes les plus populaires pour l’utilisation de l’API de sécurité Microsoft Graph.

Cas d’utilisation Ressources REST Essayer dans l’afficheur Graph
Mettre à jour les profils de contrôle des scores sécurisés Update secureScoreControlProfile https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles/{id}
Alertes et incidents
Répertorier les alertes Répertorier les alertes https://graph.microsoft.com/v1.0/security/alerts_v2
Mettre à jour une alerte Mettre à jour une alerte https://graph.microsoft.com/v1.0/security/alerts/{id}
Répertorier les incidents Répertorier les incidents https://graph.microsoft.com/v1.0/security/incidents
Répertorier les incidents avec des alertes Répertorier les incidents https://graph.microsoft.com/v1.0/security/incidents?$expand=alerts
Incident de mise à jour Incident de mise à jour https://graph.microsoft.com/v1.0/security/incidents/{id}
eDiscovery
Répertorier les cas eDiscovery Répertorier les eDiscoveryCases https://graph.microsoft.com/v1.0/security/cases/eDiscoveryCases
Répertorier les opérations de cas eDiscovery Répertorier les caseOperations https://graph.microsoft.com/v1.0/security/cases/ediscoveryCases/{id}/operations
Identités
Répertorier les problèmes d’intégrité Répertorier les problèmes d’intégrité https://graph.microsoft.com/v1.0/security/identities/healthIssues
Lister les capteurs Lister les capteurs https://graph.microsoft.com/v1.0/security/identities/sensors
Alertes héritées
Répertorier les alertes Répertorier les alertes https://graph.microsoft.com/v1.0/security/alerts
Mettre à jour des alertes Mettre à jour une alerte https://graph.microsoft.com/v1.0/security/alerts/{alert-id}
Scores sécurisés
Lister les scores sécurisés List secureScores https://graph.microsoft.com/v1.0/security/secureScores
Obtenir le degré de sécurisation Get secureScore https://graph.microsoft.com/v1.0/security/secureScores/{id}
Liste des profils de contrôle des scores sécurisés List secureScoreControlProfiles https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles
Obtenir le profil de contrôle des scores sécurisés Get secureScoreControlProfile https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles/{id}

Vous pouvez utiliser des webhooks Microsoft Graph pour vous abonner et recevoir des notifications sur les mises à jour des entités de sécurité Microsoft Graph.

Ressources

Codez et contribuez à ces exemples d’API de sécurité Microsoft Graph :

Collaboration avec la communauté :

Étapes suivantes

L’API de sécurité Microsoft Graph peut vous ouvrir de nouvelles façons d’interagir avec différentes solutions de sécurité de Microsoft et de partenaires. Pour commencer, procédez comme suit :

Codez et contribuez à cet exemple d’API de sécurité Microsoft Graph :

Explorez d’autres options pour vous connecter à l’API de sécurité Microsoft Graph :

Collaboration avec la communauté :