Utilizar a API de segurança do Microsoft Graph
A API de segurança do Microsoft Graph fornece uma interface e esquema unificados para integrar com soluções de segurança da Microsoft e parceiros de ecossistema. Isso permite aos clientes agilizar as operações de segurança e a se proteger melhor contra as crescentes ameaças cibernéticas. A API de segurança do Microsoft Graph federa consultas a todos os fornecedores de segurança integrados e agrega respostas. Utilize a API de segurança do Microsoft Graph para criar aplicações que:
- Consolidar e correlacionar alertas de segurança de várias origens.
- Extraia e investigue todos os incidentes e alertas de serviços que fazem parte ou integrados no Microsoft 365 Defender.
- Desbloqueie dados contextuais para informar as investigações.
- Automatizar tarefas de segurança, processos de negócio, fluxos de trabalho e relatórios.
- Enviar indicadores de ameaças para produtos Microsoft para deteções personalizadas.
- Invocar ações para em resposta a novas ameaças.
- Forneça visibilidade sobre os dados de segurança para ativar a gestão proativa de riscos.
A API de segurança do Microsoft Graph fornece as principais funcionalidades, conforme descrito nas secções seguintes.
Busca avançada
A investigação avançada é uma ferramenta de investigação de ameaças baseada em consultas que lhe permite explorar até 30 dias de dados não processados. Você pode inspecionar proativamente os eventos na sua rede para localizar indicadores e entidades ameaçadoras.. O acesso flexível aos dados permite a busca irrestrita tanto por ameaças conhecidas como potenciais.
Utilize runHuntingQuery para executar uma consulta Linguagem de Consulta Kusto (KQL) em dados armazenados no Microsoft 365 Defender. Utilize o conjunto de resultados devolvido para enriquecer uma investigação existente ou para descobrir ameaças não detetadas na sua rede.
Quotas e alocação de recursos
As seguintes condições estão relacionadas com todas as consultas.
- As consultas exploram e devolvem dados dos últimos 30 dias.
- Os resultados podem devolver até 100 000 linhas.
- Pode fazer, pelo menos, 45 chamadas por minuto por inquilino. O número de chamadas varia consoante o respetivo tamanho.
- Cada inquilino tem recursos de CPU alocados, com base no tamanho do inquilino. As consultas são bloqueadas se o inquilino atingir 100% dos recursos alocados até depois do próximo ciclo de 15 minutos. Para evitar consultas bloqueadas devido ao consumo excessivo, siga as orientações em Otimizar as consultas para evitar atingir as quotas da CPU.
- Se um único pedido for executado durante mais de três minutos, excede o tempo limite e devolve um erro.
- Um
429
código de resposta HTTP indica que atingiu os recursos de CPU alocados, quer pelo número de pedidos enviados, quer pelo tempo de execução atribuído. Leia o corpo da resposta para compreender o limite que atingiu.
Alertas
Os alertas são avisos detalhados sobre atividades suspeitas no inquilino de um cliente que a Microsoft ou os fornecedores de segurança parceiros identificaram e sinalizaram para ação. Normalmente, os ataques utilizam várias técnicas em relação a diferentes tipos de entidades, como dispositivos, utilizadores e caixas de correio. O resultado são alertas de vários fornecedores de segurança para várias entidades no inquilino. Juntar os alertas individuais para obter informações sobre um ataque pode ser desafiante e moroso.
A API de segurança oferece dois tipos de alertas que agregam outros alertas de fornecedores de segurança e facilitam a análise de ataques e a determinação da resposta:
-
Alertas e incidentes – estes são a última geração de alertas na API de segurança do Microsoft Graph. São representados pelo recurso de alerta e pela respetiva coleção, recurso de incidente , definido no
microsoft.graph.security
espaço de nomes. -
Alertas legados – estes são a primeira geração de alertas na API de segurança do Microsoft Graph. São representados pelo recurso de alerta definido no
microsoft.graph
espaço de nomes.
Alertas e incidentes
Estes recursos de alerta extraem primeiro dados de alerta dos serviços do fornecedor de segurança, que fazem parte ou estão integrados no Microsoft 365 Defender. Em seguida, consomem os dados para devolver pistas valiosas e ricas sobre um ataque concluído ou contínuo, os recursos afetados e as provas associadas. Além disso, correlacionam automaticamente outros alertas com as mesmas técnicas de ataque ou o mesmo atacante num incidente para fornecer um contexto mais amplo de um ataque. Recomendam ações de resposta e remediação, oferecendo uma ação consistente em todos os diferentes fornecedores. O conteúdo formatado torna mais fácil para os analistas investigarem e responderem coletivamente a ameaças.
Os alertas dos seguintes fornecedores de segurança estão disponíveis através destes alertas e incidentes avançados:
- Microsoft Entra ID Protection
- Microsoft 365 Defender
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Identidade
- Obter o Microsoft Defender para Office 365
- Prevenção Contra Perda de Dados do Microsoft Purview
Alertas legados
Observação
A API de alertas legados foi preterida e será removida até abril de 2026. Recomendamos que migre para a nova API de alertas e incidentes .
Os recursos de alerta legados federam chamadas de fornecedores de segurança suportados do Azure e do Microsoft 365 Defender. Agregam dados de alerta comuns entre os diferentes domínios para permitir que as aplicações unifiquem e simplifiquem a gestão de problemas de segurança em todas as soluções integradas. Permitem que as aplicações correlacionem alertas e contexto para melhorar a proteção e resposta a ameaças.
A versão legada da API de segurança oferece o recurso de alerta que federa as chamadas de fornecedores de segurança suportados do Azure e do Microsoft 365 Defender. Este recurso de alerta agrega dados de alertas que são comuns entre os diferentes domínios para permitir que as aplicações unifiquem e simplifiquem a gestão de problemas de segurança em todas as soluções integradas. Isto permite que as aplicações correlacionem alertas e contexto para melhorar a proteção e resposta a ameaças.
Com a capacidade de atualização de alertas, pode sincronizar a status de alertas específicos em diferentes produtos e serviços de segurança integrados com a API de segurança do Microsoft Graph ao atualizar a entidade de alerta.
Os alertas dos seguintes fornecedores estão disponíveis através do recurso de alerta . O suporte para alertas GET, alertas patch e subscrição (através de webhooks) é indicado na tabela seguinte.
Provedor de segurança | Alerta GET |
Alerta PATCH |
Assinar o alerta |
---|---|---|---|
Microsoft Entra ID Protection | ✓ |
✓ |
|
Microsoft 365
|
✓ |
||
Microsoft Defender for Cloud Apps | ✓ |
✓ |
|
Microsoft Defender para Ponto de Extremidade ** | ✓ |
✓ |
|
Microsoft Defender para Identidade *** | ✓ |
✓ |
|
Microsoft Sentinel (anteriormente Sentinel do Azure) | ✓ |
Não suportado no Microsoft Sentinel |
✓ |
Nota: Os novos fornecedores estão continuamente a integrar no ecossistema de segurança do Microsoft Graph. Para pedir novos fornecedores ou suporte alargado a fornecedores existentes, registe um problema no repositório gitHub de segurança do Microsoft Graph.
* Problema de ficheiro: os status de alertas são atualizados em aplicações integradas da API de segurança do Microsoft Graph, mas não são refletidas na experiência de gestão do fornecedor.
** Microsoft Defender para Ponto de Extremidade requer funções de utilizador adicionais para as necessárias pela API de segurança do Microsoft Graph. Apenas os utilizadores nas funções Microsoft Defender para Ponto de Extremidade e da API de segurança do Microsoft Graph podem aceder aos dados Microsoft Defender para Ponto de Extremidade. Uma vez que a autenticação apenas de aplicação não está limitada, recomendamos que utilize um token de autenticação apenas de aplicação.
Microsoft Defender para Identidade alertas estão disponíveis através da integração do Microsoft Defender para Aplicativos de Nuvem. Isto significa que só recebe alertas de Microsoft Defender para Identidade se tiver aderido ao Unified SecOps e ligado Microsoft Defender para Identidade ao Microsoft Defender para Aplicativos de Nuvem. Saiba mais sobre como integrar o Microsoft Defender para Identidade com o Microsoft Defender for Cloud Apps.
Treinamento e simulação de ataque
Simulação de ataque e treinamento é parte do Microsoft Defender para Office 365. Esse serviço permite que os usuários em um locatário experimentem um ataque de phishing benigno realista e aprendam com ele. Simulação de engenharia social e experiências de treinamento para usuários finais ajudam a reduzir o risco de usuários serem violados por meio dessas técnicas de ataque. A API de simulação e treinamento de ataque permite que os administradores de locatário visualizem os exercícios e treinamentos de simulação lançados e obtenham relatórios sobre os insights derivados dos comportamentos online dos usuários nas simulações de phishing.
Descoberta eletrônica
O Microsoft Purview eDiscovery (Premium) fornece um fluxo de trabalho de ponta a ponta para preservar, coletar, analisar, revisar e exportar conteúdo que responde às investigações internas e externas de sua organização.
Identidades
Problemas de estado de funcionamento
A API Microsoft Defender para Identidade problemas de estado de funcionamento permite-lhe monitorizar a status de estado de funcionamento dos sensores e agentes na infraestrutura de identidade híbrida. Pode utilizar a API de problemas de estado de funcionamento para obter informações sobre os problemas de estado de funcionamento atuais dos sensores, como o tipo de problema, status, configuração e gravidade. Também pode utilizar esta API para identificar e resolve quaisquer problemas que possam afetar a funcionalidade ou a segurança dos sensores e agentes.
Nota: A API Microsoft Defender para Identidade problemas de estado de funcionamento só está disponível no plano do Defender para Identidade ou Microsoft 365 E5/Planos de serviço de Segurança A5/G5/F5.
Sensores
A API de gestão de sensores do Defender para Identidade permite-lhe criar relatórios detalhados dos sensores na área de trabalho, incluindo informações sobre o nome do servidor, versão do sensor, tipo, estado e status de estado de funcionamento. Também lhe permite gerir as definições do sensor, como adicionar descrições, ativar ou desativar atualizações atrasadas e especificar o controlador de domínio ao qual o sensor se liga para consultar o Entra ID.
Incidentes
Um incidente é uma coleção de alertas correlacionados e dados associados que compõem a história de um ataque. A gestão de incidentes faz parte do Microsoft 365 Defender e está disponível no portal do Microsoft 365 Defender (https://security.microsoft.com/).
Os serviços e aplicativos do Microsoft 365 criam alertas quando detectam um evento ou atividade suspeito ou mal-intencionado. Alertas individuais fornecem dicas valiosas sobre um ataque concluído ou contínuo. No entanto, os ataques geralmente empregam várias técnicas contra diferentes tipos de entidades, como dispositivos, usuários e caixas de correio. O resultado são vários alertas para várias entidades em seu locatário.
Uma vez que juntar os alertas individuais para obter informações sobre um ataque pode ser desafiante e moroso, o Microsoft 365 Defender agrega automaticamente os alertas e as respetivas informações associadas a um incidente.
Agrupar alertas relacionados a um incidente oferece uma visão abrangente de um ataque. Por exemplo, você poderá ver:
- Onde o ataque foi iniciado.
- Quais táticas foram usadas.
- Até onde foi o ataque no seu inquilino.
- O escopo do ataque, como quantos dispositivos, usuários e caixas de correio foram afetados.
- Todos os dados associados ao ataque.
O recurso do incidente e suas APIs permitem classificar por meio de incidentes para criar uma resposta de segurança cibernética informada. Expõe uma coleção de incidentes, com os respetivos alertas relacionados, que foram sinalizados na sua rede, dentro do intervalo de tempo que especificou na política de retenção do ambiente.
Proteção de informações
A API de avaliação de ameaças do Microsoft Graph ajuda as organizações a avaliar a ameaça recebida por qualquer usuário em um locatário. Isto permite que os clientes relatem emails de spam, URLs de phishing ou anexos de malware que recebem à Microsoft. Os resultados da verificação de política e os resultados ao verificar novamente, podem ajudar os administradores de locatários a entender o veredicto da verificação de ameaças e ajustar sua política organizacional.
Gerenciamento de registros
A maioria das organizações precisa de gerir dados para cumprir proativamente os regulamentos do setor e as políticas internas, reduzir o risco em caso de litígio ou uma falha de segurança e permitir que as pessoas partilhem de forma eficaz e ágil conhecimentos que são atuais e relevantes para as mesmas. Pode utilizar as APIs de gestão de registos para aplicar sistematicamente etiquetas de retenção a diferentes tipos de conteúdo que requerem definições de retenção diferentes. Por exemplo, pode configurar o início do período de retenção a partir do momento em que o conteúdo foi criado, modificado pela última vez, etiquetado ou quando ocorre um evento para um determinado tipo de evento. Além disso, pode utilizar descritores de planos de ficheiros para melhorar a capacidade de gestão destas etiquetas de retenção.
Classificação de Segurança
A Microsoft Secure Score é uma solução de análise da segurança que fornece visibilidade ao seu portfólio de segurança e mostra como melhorá-lo. Com uma única classificação, pode compreender melhor o que fez para reduzir o risco nas soluções da Microsoft. Você pode também comparar sua classificação com outras organizações e ver como tem sido a tendência ao longo do tempo. As entidades secureScore e secureScoreControlProfile de segurança do Microsoft Graph ajudam a equilibrar as necessidades de segurança e produtividade da sua organização ao mesmo tempo que permitem a combinação adequada de funcionalidades de segurança. Você também pode projetar qual seria sua classificação depois de adotar recursos de segurança.
Inteligência contra ameaças
Informações sobre Ameaças do Microsoft Defender fornece informações sobre ameaças de classe mundial para ajudar a proteger a sua organização contra ameaças cibernéticas modernas. Pode utilizar as Informações sobre Ameaças para identificar adversários e as respetivas operações, acelerar a deteção e a remediação e melhorar os seus investimentos e fluxos de trabalho de segurança.
As APIs de informações sobre ameaças permitem-lhe operacionalizar as informações encontradas na interface de utilizador. Isto inclui informações concluídas nas formas de artigos e perfis de informações, inteligência automática, como IoCs e veredictos de reputação, e dados de melhoramento, como DNS passivo, cookies, componentes e rastreadores.
Casos de uso comuns
Seguem-se alguns dos pedidos mais populares para trabalhar com a API de segurança do Microsoft Graph.
Pode utilizar webhooks do Microsoft Graph para subscrever e receber notificações sobre atualizações a entidades de segurança do Microsoft Graph.
Recursos
Codize e contribua para estes exemplos da API de segurança do Microsoft Graph:
Participe da comunidade:
Próximas etapas
A API de segurança do Microsoft Graph pode abrir novas formas de interagir com diferentes soluções de segurança da Microsoft e parceiros. Siga estas etapas para iniciar:
- Expandir alerts, secureScore e secureScoreControlProfiles.
- Experimente a API no Explorador do Graph. Em Consultas de Exemplo, escolha mostrar mais amostras e defina a categoria Segurança como on.
- Experimente assinar e receber notificações sobre alterações de entidade.
Conteúdo relacionado
Codize e contribua para este exemplo da API de segurança do Microsoft Graph:
Explore outras opções para se ligar à API de segurança do Microsoft Graph:
- Conectores de segurança do Microsoft Graph para Logic Apps, Flow e Power Apps
- Amostras do Bloco de anotações Jupyter
Participe da comunidade: