Microsoft Security Graph の詳細を確認する

  • 10 分

Microsoft Graph では、Microsoft 365、Windows、Enterprise Mobility + Security のデータにアクセスするために使用できる統合プログラミング モデルが提供されています。 Microsoft Graph のデータを使って、組織用にカスタマイズされたアプリを構築できます。

Microsoft Graph API では、単一のエンドポイント https://graph.microsoft.com (v1.0 またはベータ版) が提供されます。 REST API または SDK を使用してそのエンドポイントにアクセスし、Microsoft 365 のシナリオをサポートするアプリをビルドできます。 Microsoft Graph には、ユーザーとデバイスの ID、アクセス、コンプライアンス、セキュリティを管理し、データ漏えいや損失から組織を保護する、強力な一連のサービスも含まれています。

Microsoft Graph の内容

Microsoft Graph では、次の Microsoft クラウド サービスのデータにアクセスするための REST API とクライアント ライブラリが公開されています。

  • Microsoft 365 コア サービス: Bookings、Calendar、Delve、Excel、Microsoft Purview eDiscovery、Microsoft Search、OneDrive、OneNote、Outlook/Exchange、People (Outlook 連絡先)、Planner、SharePoint、Teams、To Do、Viva Insights
  • Enterprise Mobility + Security サービス:Advanced Threat AnalyticsAdvanced Threat Protection、Microsoft Entra ID、Identity Manager、Intune
  • Windows サービス: アクティビティ、デバイス、通知、ユニバーサル プリント
  • Dynamics 365 Business Central サービス

Microsoft Graph Security API

Microsoft Graph Security API は中間サービス (ブローカー) であり、複数の Microsoft Graph セキュリティ プロバイダー (セキュリティ プロバイダーまたはプロバイダーとも呼ばれます) を接続するための単一のプログラマティック インターフェイスを提供します。 Microsoft Graph Security API への要求は、該当するすべてのセキュリティ プロバイダーにフェデレーションされます。 次の図に示すように、結果は集計されて、共通のスキーマで要求しているアプリケーションに返されます。

Diagram showing the Microsoft Security Graph architecture.

開発者はセキュリティ グラフを使って、次のことを行うインテリジェントなセキュリティ サービスを構築できます。

  • 複数のソースからのセキュリティ アラートを統合して関連付けます。
  • セキュリティ情報イベント管理 (SIEM) のソリューションにアラートをストリーミングします。
  • 警告、禁止、または許可のアクションを実行できるよう、脅威インジケーターを Microsoft のセキュリティ ソリューションに自動的に送信します。
  • コンテキスト データのロックを解除して調査を通知します。
  • データから学習してセキュリティ ソリューションをトレーニングする機会を見つけます。
  • 効率を高めるために SecOps を自動化します。

Microsoft Graph Security API の使用

Microsoft Graph Security API には 2 つのバージョンがあります。

  • Microsoft Graph REST API v1.0
  • Microsoft Graph REST API ベータ版

ベータ版では、まだプレビュー状態にある新しい API または拡張 API が提供されます。 プレビューの状態の API は変更される可能性があり、予告なしに既存のシナリオが中断される可能性があります。

セキュリティ オペレーション アナリストのため、Microsoft Graph API のどちらのバージョンでも、runHuntingQuery メソッドを使った高度なハンティングがサポートされています。 このメソッドには、Kusto 照会言語 (KQL) でのクエリが含まれます。

  • Microsoft Defender XDR での高度なハンティングの例:

    POST https://graph.microsoft.com/v1.0/security/runHuntingQuery

{
    "Query": "DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2"
}

Graph エクスプローラーを使って、ハンティング クエリを実行できます。

Screenshot of the Microsoft Graph Explorer running the KQL hunting query.

その他の参考資料 - 詳しくは、Microsoft Graph Security API に関する記事をご覧ください。