Общие сведения об API безопасности Microsoft Graph

API безопасности Microsoft Graph можно использовать для подключения продуктов, служб и партнеров Майкрософт для обеспечения безопасности, чтобы упростить операции безопасности и улучшить возможности защиты от угроз, обнаружения и реагирования.

API безопасности Microsoft Graph — это служба-посредник (или брокер), которая предоставляет единый программный интерфейс для подключения нескольких поставщиков безопасности Microsoft Graph (также называемых поставщиками или поставщиками безопасности). Запросы к API безопасности Microsoft Graph объединяются в федерацию со всеми применимыми поставщиками безопасности. Результаты объединяются и возвращаются запрашивающему приложению в общей схеме, как показано на рисунке ниже. Дополнительные сведения см. в разделе Поток данных API безопасности Microsoft Graph.

security_overview_diagram_1.png

Сведения об авторизации см. в разделе Авторизация и API безопасности Microsoft Graph. Сведения о разрешениях, в том числе делегированных и для приложений, см. в справочнике по разрешениям.

Зачем использовать API безопасности Microsoft Graph?

API безопасности Microsoft Graph упрощает подключение к решениям по обеспечению безопасности от корпорации Майкрософт и партнеров. Он помогает быстрее реализовать и расширить потенциал этих решений. Вы можете легко подключиться к API безопасности Microsoft Graph, используя один из следующих подходов в зависимости от ваших требований:

Отправка информации об угрозах и активация всего потока автоматизации

Единый API отправки информации об угрозах безопасности упрощает отправку информации об угрозах для разных решений, призванных обеспечивать безопасность. Это позволяет не только отправлять информацию об угрозах, но и получать результаты такой отправки и активировать нисходящие потоки оповещений. Новый единый API отправки информации об угрозах безопасности поддерживает как разрешения приложений, так и делегированные разрешения для создания новых решений для обеспечения безопасности.

Возможности исследования угроз и реагирования на нее предоставляют подробные метаданные и индикаторы сообщений электронной почты, обработанных Microsoft Defender для Office 365 и связанных с ними действий реагирования. Эти аналитические сведения помогут группе безопасности вашей организации защитить пользователей от атак на основе электронной почты или файлов.

Объединение и стандартизация отслеживания оповещений

Достаточно один раз выполнить подключение, чтобы интегрировать оповещения из любого решения для обеспечения безопасности, интегрированного с Microsoft Graph, и состояние оповещений и назначения будут синхронизированы между всеми решениями. Вы также можете выполнять потоковую передачу оповещений в решения по управлению информационной безопасностью и событиями безопасности (SIEM), например Splunk, с помощью соединителей API безопасности Microsoft Graph. Дополнительные сведения об интеграции решений с сущностями API безопасности см. в статье Интеграция решений безопасности с помощью API безопасности Microsoft Graph.

Корреляция оповещений системы безопасности для улучшения защиты от угроз и отклика

Легко сопоставляйте оповещения из разных решений для обеспечения безопасности с помощью единой схемы оповещений. Это позволяет не только получать действенные оповещения, но и дает возможность специалистам по анализу вопросов безопасности создавать сводки оповещений и добавлять в них сведения о ресурсах и пользователях, обеспечивая быстрый отклик на угрозы и защиту ресурсов.

Обновление тегов, состояния и назначений оповещений

Добавляйте теги к оповещениям с дополнительным контекстом или аналитикой угроз для информирования о реагировании и исправлении. Обеспечьте запись комментариев и отзывов в отношении оповещений для видимости для всех рабочих процессов. Обеспечьте синхронизацию назначений и состояний оповещений, чтобы все интегрированные решения отражали текущее состояние. Чтобы получать уведомления об изменениях, используйте подписки на веб-перехватчики.

Разблокировка контекста безопасности для расследований

Подробно изучите связанные с безопасностью данные инвентаризации (например, пользователи, узлы и приложения), а затем добавьте контекст организации от других поставщиков Microsoft Graph (Microsoft Entra ID, Microsoft Intune, Microsoft 365), чтобы объединить бизнес-контексты и контексты безопасности и улучшить реагирование на угрозы.

Автоматизация рабочих процессов и отчетов безопасности

Автоматизируйте управление системой безопасности, отслеживанием и расследованиями, чтобы улучшить эффективность действий и время ответа. Получите более глубокие аналитические сведения и контекст, интегрируя безопасность Microsoft Graph в отчеты и панели мониторинга.

Получение подробной статистики для настройки решений по обеспечению безопасности

Визуализируйте данные в разных продуктах безопасности, используемых в организации, чтобы получать подробные сведения о безопасности. Раскрывайте возможности получения сведений на основе данных и настраивайте решения по обеспечению безопасности. Схема включает несколько свойств в качестве основы для создания расширенных диагностических наборов данных с использованием данных по безопасности.

Использование аналитики угроз в решениях Майкрософт по обеспечению безопасности (предварительная версия)

Автоматически отправляйте индикаторы угроз в решения Майкрософт по обеспечению безопасности, чтобы включить действия alert, block или allow. Используйте API безопасности Microsoft Graph напрямую или воспользуйтесь преимуществами интеграции с ведущими платформами аналитики угроз.

Быстрое реагирование на новые угрозы (предварительная версия)

Включите незамедлительные действия для защиты от новых угроз, например действия для блокировки файлов, URL-адресов, доменов и IP-адресов из средств обеспечения безопасности и рабочих процессов.

Профилактика рисков безопасности (предварительная версия)

Используйте предварительную версию оценки безопасности (Майкрософт) для обеспечения наглядности требований системы безопасности организации и получения предложений по ее улучшению, а также прогнозирования улучшенной оценки безопасности после внедрения этих предложений. Легко измеряйте ход выполнения и анализируйте конкретные изменения, повлиявшие на повышение оценки.

Управление рабочими процессами обнаружения электронных данных

Организации используют возможности Обнаружения электронных данных в Microsoft Purview, чтобы при необходимости определять, что происходит в организации, на основе внутренних или внешних требований, таких как судебное разбирательство, исследование или соответствие нормативным требованиям.

Во многих организациях рабочие процессы обнаружения электронных данных являются частыми, критически важными и имеют большой объем. В случае наличия обычных повторяющихся задач или большого объема действий API обеспечивают масштабируемость для согласованного и эффективного повторения процессов. Многие организации обрабатывают большой объем дел и запросов на обнаружение электронных данных и предпочитают автоматизировать некоторые задачи. API Microsoft Graph для расширенного обнаружения электронных данных предоставляют доступ к БОЛЬШИНСТВу функций, доступных в решении Microsoft Purview eDiscovery (премиум).

В зависимости от текущих систем и процессов на месте организации могут иметь разные приоритеты в отношении автоматизации и интеграции, от вышестоящих процессов, таких как создание дел, до нижестоящих, таких как сбор, запросы на набор для проверки или экспорт. Поддержка рабочих процессов с помощью API в рамках расширенного рабочего процесса обнаружения электронных данных обеспечивает гибкость и дополнительные возможности.

Создание пользовательских рабочих процессов обнаружения электронных данных с помощью Microsoft Graph

  • Автоматизируйте управление делами и синхронизацию с помощью средств управления делами.

  • Добавьте стандартизированные наборы тегов в дела.

  • Создайте пользовательские отчеты для отслеживания полного набора и хода рассмотрения отдельных дел.

Преимущества использования API безопасности Microsoft Graph

В следующей таблице перечислены преимущества, к которым могут получить доступ различные решения по обеспечению безопасности путем интеграции с API безопасности Microsoft Graph.

Область Преимущества
Поставщики услуг управляемой безопасности (MSSP)
  • Упрощенная интеграция со службами операционной безопасности, рабочими процессами и отчетами.
  • Уменьшение времени и усилий на развертывание и обслуживание.
  • Автоматизированный ответ на оповещения с выполнением действий при угрозах.
  • Возможность предоставления дополнительных преимуществ для пользователей MSSP.
SIEM и решения по управлению ИТ-рисками
  • Простая интеграция с решениями по обеспечению безопасности Майкрософт и партнерами экосистемы.
  • Расширенные метаданные оповещений.
  • Улучшенная корреляция оповещений.
Приложения
(Аналитика угроз, мобильные приложения, облачные приложения, Интернет вещей, обнаружение мошенничества, удостоверение и доступ, риски и соответствие требованиям, брандмауэр и т. д.)
  • Единая система управления угрозами, предотвращение и управление рисками в различных решениях по обеспечению безопасности.
  • Оповещения, действия и аналитика угроз клиентов, доступные через Microsoft Graph.
  • Быстрая интеграция с решениями, поддерживающими Microsoft Graph.
  • Получение подробной статистики по безопасности для настройки других решений по обеспечению безопасности.

Справочные материалы по API

Ищете справочные материалы по API для этой службы?

Дальнейшие действия