Utiliser l’API de sécurité Microsoft Graph
Importante
Les API sous la version /beta
dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .
L’API de sécurité Microsoft Graph fournit une interface et un schéma unifiés pour s’intégrer aux solutions de sécurité de Microsoft et des partenaires de l’écosystème. Il permet aux clients de rationaliser les opérations de sécurité et de mieux se défendre contre les cybermenaces croissantes. L’API de sécurité Microsoft Graph fédère les requêtes à tous les fournisseurs de sécurité intégrés et agrège les réponses. Utilisez l’API de sécurité Microsoft Graph pour créer des applications qui :
- Consolider et mettre en corrélation les alertes de sécurité provenant de plusieurs sources.
- Extrayez et examinez tous les incidents et alertes provenant de services qui font partie de Microsoft 365 Defender ou qui sont intégrés à Celui-ci.
- déverrouillent des données contextuelles pour documenter les enquêtes.
- Automatisez les tâches de sécurité, les processus métier, les flux de travail et les rapports.
- Envoyer des indicateurs de menace aux produits Microsoft pour des détections personnalisées.
- Appelez des actions à en réponse aux nouvelles menaces.
- Fournir une visibilité sur les données de sécurité pour permettre une gestion proactive des risques.
L’API de sécurité Microsoft Graph fournit des fonctionnalités clés, comme décrit dans les sections suivantes.
Actions (préversion)
Prenez des mesures immédiates pour vous défendre contre les menaces à l’aide de l’entité securityAction . Lorsqu’un analyste de sécurité découvre un indicateur Nouveau, tel qu’un fichier malveillant, URL, domaine ou adresse IP, protection peut être activée instantanément dans vos solutions de sécurité Microsoft. Appeler une action pour un fournisseur spécifique, voir toutes les actions effectuées et annuler une action si nécessaire. Essayez les actions de sécurité avec Microsoft Defender pour point de terminaison : Protection avancée contre les menaces (anciennement Microsoft Defender ATP) pour bloquer une activité malveillante sur vos points de terminaison Windows à l’aide des propriétés affichées dans les alertes ou identifiées lors de l’enquête.
Remarque : les actions de sécurité ne prennent en charge actuellement que les autorisations de l’application.
Recherche avancée de menaces
Le repérage avancé est un outil de repérage de menaces basé sur des requêtes qui vous permet d’explorer jusqu’à 30 jours de données brutes. Vous pouvez inspecter de manière proactive les événements de votre réseau pour localiser les indicateurs et entités de menace. L’accès flexible aux données facilite le repérage sans contrainte pour les menaces connues et potentielles.
Utilisez runHuntingQuery pour exécuter une requête Langage de requête Kusto (KQL) sur des données stockées dans Microsoft 365 Defender. Tirez parti du jeu de résultats retourné pour enrichir une investigation existante ou découvrir les menaces non détectées dans votre réseau.
Quotas et allocation de ressources
Vous pouvez exécuter une requête sur les données des 30 derniers jours uniquement.
Les résultats incluent un maximum de 100 000 lignes.
Le nombre d’exécutions est limité par locataire :
- Appels d’API : jusqu’à 45 requêtes par minute et jusqu’à 1 500 requêtes par heure.
- Durée d’exécution : 10 minutes d’exécution toutes les heures et 3 heures d’exécution par jour.
La durée d’exécution maximale d’une requête unique est de 200 secondes.
Un code de réponse HTTP 429 signifie que vous avez atteint le quota pour le nombre d’appels d’API ou le temps d’exécution. Reportez-vous au corps de la réponse pour confirmer la limite que vous avez atteinte.
La taille maximale du résultat d’une requête ne peut pas dépasser 124 Mo. Le dépassement de la limite de taille entraîne une requête HTTP 400 incorrecte avec le message « L’exécution de la requête a dépassé la taille de résultat autorisée. Optimisez votre requête en limitant le nombre de résultats et réessayez. »
Détections personnalisées
Vous pouvez créer des règles de détection personnalisées de repérage avancées spécifiques à vos opérations de sécurité pour vous permettre de surveiller de manière proactive les menaces et de prendre des mesures. Par instance, vous pouvez créer des règles de détection personnalisées qui recherchent des indicateurs connus ou des appareils mal configurés. Celles-ci déclenchent automatiquement des alertes et toutes les actions de réponse que vous spécifiez.
Quotas
- Obtenir plusieurs règles : 10 règles par minute et par application, 300 règles par heure et par application, 600 règles par heure et par locataire
- Obtenir une seule règle : 100 règles par minute par application, 1 500 règles par heure et par application, 1 800 règles par heure et par locataire
- Créer une règle : 10 règles par minute et par application, 1 500 règles par heure et par application, 1 800 règles par heure et par locataire
- Règle de mise à jour : 100 règles par minute et par application, 1 500 règles par heure et par application, 1 800 règles par heure et par locataire
- Règle de suppression : 100 règles par minute et par application, 1 500 règles par heure et par application, 1 800 règles par heure et par locataire
Alertes
Les alertes sont des avertissements détaillés concernant les activités suspectes dans le locataire d’un client que Microsoft ou les fournisseurs de sécurité partenaires ont identifiés et marqués pour action. Les attaques utilisent généralement différentes techniques contre différents types d’entités, tels que les appareils, les utilisateurs et les boîtes aux lettres. Le résultat est des alertes de plusieurs fournisseurs de sécurité pour plusieurs entités dans le locataire. Le regroupement des alertes individuelles pour obtenir des informations sur une attaque peut être difficile et fastidieux.
La version bêta de l’API de sécurité offre deux types d’alertes qui agrègent d’autres alertes provenant de fournisseurs de sécurité et facilitent l’analyse des attaques et la détermination des réponses :
-
Alertes et incidents : dernière génération d’alertes dans l’API de sécurité Microsoft Graph. Ils sont représentés par la ressource d’alerte et sa collection, ressource d’incident , définie dans l’espace
microsoft.graph.security
de noms. -
Alertes héritées : première génération d’alertes dans l’API de sécurité Microsoft Graph. Elles sont représentées par la ressource d’alerte définie dans l’espace de
microsoft.graph
noms .
Alertes et incidents
Ces ressources d’alerte extrayent d’abord les données d’alerte des services du fournisseur de sécurité, qui font partie de Microsoft 365 Defender ou sont intégrés à celui-ci. Ensuite, ils consomment les données pour retourner des indices riches et précieux sur une attaque terminée ou en cours, les ressources impactées et les preuves associées. En outre, ils mettent automatiquement en corrélation d’autres alertes avec les mêmes techniques d’attaque ou le même attaquant dans un incident pour fournir un contexte plus large d’une attaque. Ils recommandent des actions de réponse et de correction, offrant une actionabilité cohérente entre tous les différents fournisseurs. Le contenu enrichi permet aux analystes d’examiner plus facilement les menaces et de répondre collectivement aux menaces.
Les alertes des fournisseurs de sécurité suivants sont disponibles via ces alertes et incidents riches :
- Protection Microsoft Entra ID
- Microsoft 365 Defender
- Microsoft Defender for Cloud Apps
- Microsoft Defender pour point de terminaison
- Microsoft Defender pour l’identité
- Microsoft Defender pour Office 365
- Protection contre la perte de données Microsoft Purview
Alertes héritées
Remarque
L’API d’alertes héritées est déconseillée et sera supprimée d’ici avril 2026. Nous vous recommandons de migrer vers la nouvelle API d’alertes et d’incidents .
Les ressources d’alerte héritées fédèrent l’appel des fournisseurs de sécurité Azure et Microsoft 365 Defender pris en charge. Ils agrègent les données d’alerte communes entre les différents domaines pour permettre aux applications d’unifier et de simplifier la gestion des problèmes de sécurité dans toutes les solutions intégrées. Ils permettent aux applications de mettre en corrélation les alertes et le contexte pour améliorer la protection et la réponse aux menaces.
Avec la fonctionnalité de mise à jour des alertes, vous pouvez synchroniser les status d’alertes spécifiques sur différents produits et services de sécurité intégrés à l’API de sécurité Microsoft Graph en mettant à jour votre entité d’alerte.
Les alertes des fournisseurs de sécurité suivants sont disponibles via la ressource d’alerte héritée. La prise en charge des alertes GET, des alertes PATCH et de l’abonnement (via des webhooks) est indiquée dans le tableau suivant.
Fournisseur de sécurité | Obtenir une alerte |
Alerte de correctif logiciel |
S’abonner à l’alerte |
---|---|---|---|
Protection Microsoft Entra ID | ✓ |
✓ |
|
Azure Security Center | ✓ |
✓ |
✓ |
Microsoft 365
|
✓ |
||
Microsoft Defender for Cloud Apps (anciennement Microsoft Cloud App Security) | ✓ |
✓ |
|
Microsoft Defender pour point de terminaison (anciennement Microsoft Defender ATP) ** | ✓ |
✓ |
|
Microsoft Defender pour Identity (anciennement Azure Protection avancée contre les menaces) | ✓ |
✓ |
|
Microsoft Sentinel (anciennement Azure Sentinel) | ✓ |
Non pris en charge dans Microsoft Sentinel |
✓ |
Note: Les nouveaux fournisseurs s’intègrent en permanence à l’écosystème de sécurité Microsoft Graph. Pour demander de nouveaux fournisseurs ou obtenir un support étendu auprès de fournisseurs existants, déposez un problème dans le dépôt GitHub de sécurité Microsoft Graph.
* Problème de fichier : les status d’alerte sont mises à jour dans les applications intégrées de l’API de sécurité Microsoft Graph, mais ne sont pas reflétées dans l’expérience de gestion du fournisseur.
** Microsoft Defender pour point de terminaison nécessite des rôles d’utilisateur supplémentaires à ceux requis par l’API de sécurité Microsoft Graph. Seuls les utilisateurs des rôles Microsoft Defender pour point de terminaison et de l’API de sécurité Microsoft Graph peuvent avoir accès aux données Microsoft Defender pour point de terminaison. Étant donné que l’authentification d’application uniquement n’est pas limitée par cela, nous vous recommandons d’utiliser un jeton d’authentification d’application uniquement.
Microsoft Defender pour Identity alertes sont disponibles via l’intégration Microsoft Defender for Cloud Apps. Cela signifie que vous recevez des alertes Microsoft Defender pour Identity uniquement si vous avez rejoint Unified SecOps et connecté Microsoft Defender pour Identity à Microsoft Defender for Cloud Apps. En savoir plus sur comment intégrer Microsoft Defender pour Identity et Microsoft Defender for Cloud Apps.
Simulation et entraînement des attaques
La simulation d’attaque et la formation font partie de Microsoft Defender pour Office 365. Ce service permet aux utilisateurs d’un client de faire face à une attaque de hameçonnage réaliste et d’en tirer des enseignements. Les expériences de formation et de simulation d’ingénierie sociale pour les utilisateurs finaux permettent de réduire le risque de violation des utilisateurs via ces techniques d’attaque. L’API de simulation d’attaques et de formation permet aux administrateurs clients d’afficher des exercices et des formations de simulation lancées, et d’obtenir des rapports sur les informations dérivées sur les comportements en ligne des utilisateurs dans les simulations de hameçonnage.
eDiscovery
Microsoft Purview eDiscovery (Premium) offre un flux de travail de bout en bout qui permet de conserver, collecter, examiner, analyser et exporter du contenu qui répond aux enquêtes internes et externes de votre organisation.
Requête de journal d’audit (préversion)
Microsoft Purview Audit fournit une solution intégrée pour aider les organisations à répondre efficacement aux événements de sécurité, aux enquêtes judiciaires, aux enquêtes internes et aux obligations de conformité. Des milliers d’opérations utilisateur et administrateur effectuées dans des dizaines de services et solutions Microsoft 365 sont capturées, enregistrées et conservées dans le journal d’audit unifié de votre organisation. Les enregistrements d'audit de ces événements peuvent être utilisables dans une recherchepar les responsables de la sécurité, les administrateurs informatiques, les équipes chargées de la lutte contre le risque interne et les enquêteurs chargés de la conformité et de la législation au sein de votre organisation. Cette fonctionnalité permet de gagner en visibilité sur les activités effectuées au sein de votre organisation Microsoft 365.
Identités
Problèmes d’intégrité
L’API des problèmes d’intégrité Microsoft Defender pour Identity vous permet de surveiller les status d’intégrité de vos capteurs et agents au sein de votre infrastructure d’identité hybride. Vous pouvez utiliser l’API des problèmes d’intégrité pour récupérer des informations sur les problèmes d’intégrité actuels de vos capteurs, telles que le type de problème, le status, la configuration et la gravité. Vous pouvez également utiliser l’API pour identifier et résoudre tous les problèmes susceptibles d’affecter la fonctionnalité ou la sécurité de vos capteurs et agents.
Note: L’API des problèmes d’intégrité Microsoft Defender pour Identity est disponible uniquement sur le plan Defender pour Identity ou les plans de service de sécurité Microsoft 365 E5/A5/G5/F5.
Capteurs
L’API de gestion des capteurs Defender pour Identity vous permet de créer des rapports détaillés sur les capteurs de votre espace de travail, notamment des informations sur le nom du serveur, la version du capteur, le type, l’état et l’intégrité status. Il vous permet également de gérer les paramètres du capteur, tels que l’ajout de descriptions, l’activation ou la désactivation des mises à jour retardées et la spécification du contrôleur de domaine auquel le capteur se connecte pour interroger l’ID Entra.
Incidents
Un incident est une collection d’alertes corrélées et de données associées qui constituent l’histoire d’une attaque. La gestion des incidents fait partie de Microsoft 365 Defender et est disponible dans le portail Microsoft 365 Defender (https://security.microsoft.com/).
Les services et applications Microsoft 365 créent des alertes lorsqu’ils détectent un événement ou une activité suspect ou malveillant. Les alertes individuelles fournissent des indices précieux sur une attaque terminée ou en cours. Toutefois, les attaques utilisent généralement différentes techniques contre différents types d’entités, comme les appareils, les utilisateurs et les boîtes aux lettres. Le résultat est plusieurs alertes pour plusieurs entités dans votre client.
Étant donné que l’agrégation des alertes individuelles pour obtenir des informations sur une attaque peut être difficile et fastidieuse, Microsoft 365 Defender agrège automatiquement les alertes et les informations associées dans un incident.
Le regroupement d’alertes associées dans un incident vous donne une vue complète d’une attaque. Par exemple, vous pouvez voir :
- Où l’attaque a démarré.
- Quelles tactiques ont été utilisées.
- Jusqu’où l’attaque est-elle passée dans votre locataire.
- L’étendue de l’attaque, par exemple le nombre d’appareils, d’utilisateurs et de boîtes aux lettres qui ont été affectés.
- Toutes les données associées à l’attaque.
La ressource incident et ses API vous permettent de trier les incidents afin de créer une réponse de cybersécurité éclairée. Il expose une collection d’incidents, avec leurs alertes associées, qui ont été marqués dans votre réseau, dans l’intervalle de temps que vous avez spécifié dans votre stratégie de rétention de l’environnement.
Protection des informations
Étiquettes : les étiquettes de protection des informations fournissent des détails pour appliquer correctement une étiquette de confidentialité aux informations. L’API d’étiquette de protection des informations décrit la configuration des étiquettes de confidentialité qui s’appliquent à un utilisateur ou à un client.
Évaluation des menaces : l’API d’évaluation des menaces Microsoft Graph permet aux organisations d’évaluer la menace reçue par tout utilisateur sur un client. Les clients peuvent ainsi signaler à Microsoft les courriers indésirables ou suspects, les URL d’hameçonnage ou les pièces jointes malveillantes qu'ils reçoivent. Microsoft vérifie l’exemple en question et les stratégies organisationnelles en jeu avant de générer un résultat afin que les administrateurs locataires puissent comprendre le verdict d’analyse des menaces et ajuster leur stratégie organisationnelle. Ils peuvent également l’utiliser pour signaler des e-mails légitimes afin de les empêcher d’être bloqués.
Remarque : Nous vous recommandons d’utiliser l’API de soumission de menaces à la place.
Gestion des enregistrements
La plupart des organisations doivent gérer les données pour se conformer de manière proactive aux réglementations du secteur et aux stratégies internes, réduire les risques en cas de litige ou de violation de la sécurité, et permettre à leurs employés de partager efficacement et de manière agile les connaissances actuelles et pertinentes pour eux. Vous pouvez utiliser les API de gestion des enregistrements pour appliquer systématiquement des étiquettes de rétention à différents types de contenu qui nécessitent des paramètres de rétention différents. Par exemple, vous pouvez configurer le début de la période de rétention à partir du moment où le contenu a été créé, modifié pour la dernière fois, étiqueté ou lorsqu’un événement se produit pour un type d’événement particulier. En outre, vous pouvez utiliser des descripteurs de plan de fichiers pour améliorer la gestion de ces étiquettes de rétention.
Degré de sécurisation
Microsoft Secure Score est une solution d'analyse de sécurité qui vous donne une visibilité sur votre portefeuille de sécurité et sur la façon de l'améliorer. Avec un score unique, vous pouvez mieux comprendre ce que vous avez effectué pour réduire les risques dans les solutions Microsoft. Vous pouvez également comparer votre score avec d’autres organisations et voir comment votre note a évolué au fil du temps. Les entités secureScore et secureScoreControlProfile vous aident à équilibrer les besoins de sécurité et de productivité de votre organization tout en activant la combinaison appropriée de fonctionnalités de sécurité. Vous pouvez également projeter votre score après l’adoption des fonctionnalités de sécurité.
Renseignement sur les menaces (préversion)
Microsoft Defender Threat Intelligence fournit des renseignements sur les menaces de classe mondiale pour vous aider à protéger vos organization contre les cybermenaces modernes. Vous pouvez utiliser Threat Intelligence pour identifier les adversaires et leurs opérations, accélérer la détection et la correction, et améliorer vos investissements et workflows de sécurité.
Les API Threat Intelligence (préversion) vous permettent d’opérationnaliser l’intelligence trouvée dans l’interface utilisateur. Cela inclut l’intelligence finale sous la forme d’articles et de profils intel, l’intelligence machine, y compris les ioC et les verdicts de réputation, et enfin, les données d’enrichissement, y compris le DNS passif, les cookies, les composants et les suivis.
Indicateurs contre les menaces (préversion)
Remarque
L’entité tiIndicator est déconseillée et sera supprimée d’ici avril 2026.
Les indicateurs de menace, également appelés indicateurs de compromission (IoC), représentent des données sur les menaces connues, telles que les fichiers malveillants, les URL, les domaines et les adresses IP. Les clients peuvent générer des indicateurs de veille contre les menaces interne collecte ou acquérir des indicateurs à partir de communautés de veille contre les menaces, flux sous licence et autres sources. Ces indicateurs sont ensuite utilisés dans les différents outils de sécurité à défendre contre les menaces connexes.
L’entité tiIndicator permet aux clients de fournir des indicateurs de menace aux solutions de sécurité Microsoft pour effectuer une action de blocage ou d’alerte sur une activité malveillante, ou pour autoriser l’activité qui a été jugée non pertinente pour le organization et supprimer des actions pour l’indicateur. Pour envoyer un indicateur, spécifiez la solution de sécurité Microsoft destinée à utiliser l’indicateur et l’action à entreprendre pour cet indicateur.
Vous pouvez intégrer l’entitétiIndicator dans votre application ou utilisez les plateformes d’aide à la décision intégrée contre les menaces suivantes (Conseil) :
- Palo Alto réseaux MineMeld menaces partage aide à la décision
- Plateforme MISP Open Source contre les menaces Intelligence disponibles via le exemple TI
Les indicateurs de menace envoyés via l’API de sécurité Microsoft Graph sont disponibles aujourd’hui dans les produits suivants :
- Microsoft Defender pour point de terminaison : vous permet d’alerter et/ou de bloquer les indicateurs de menace associés à une activité malveillante. Vous pouvez aussi autoriser un indicateur à ignorer l’indicateur d’investigations automatisées. Pour plus d’informations sur les types d’indicateurs pris en charge et les limites du nombre d’indicateurs par client, voir Gérer les indicateurs.
- Microsoft Sentinel : seuls les clients existants peuvent utiliser l’API tiIndicator pour envoyer des indicateurs de renseignement sur les menaces à Microsoft Sentinel. Pour obtenir des instructions détaillées les plus récentes sur la façon d’envoyer des indicateurs intelligents contre les menaces à Microsoft Sentinel, consultez Connecter votre plateforme de renseignement sur les menaces à Microsoft Sentinel.
Soumission de menaces
L'API de soumission des menaces Microsoft Graph aide les organisations à soumettre une menace reçue par n'importe quel utilisateur d'un client. Les clients peuvent ainsi signaler à Microsoft les courriers indésirables ou suspects, les URL d’hameçonnage ou les pièces jointes malveillantes qu'ils reçoivent. Microsoft vérifie la soumission par rapport aux stratégies organisationnelles en vigueur et l’envoie aux évaluateurs humains pour analyse. Le résultat aide ensuite les administrateurs des clients à comprendre le verdict d'analyse des menaces et à ajuster leur stratégie organisationnelle. Les administrateurs peuvent également utiliser les résultats pour signaler des e-mails légitimes afin d’éviter qu’ils ne soient bloqués.
Note: Nous vous recommandons d’utiliser l’API de soumission des menaces au lieu de l’API d’évaluation des menaces Information Protection déconseillée. L’API de soumission de menaces fournit une fonctionnalité unifiée de soumission des menaces de sécurité et ajoute la prise en charge unifiée des résultats, la prise en charge des requêtes de soumission des utilisateurs, la prise en charge des listes de blocage des clients autorisés, la prise en charge de la révision par l’administrateur et la prise en charge du mode application uniquement.
protection Email et collaboration
Microsoft Defender pour Office 365 est un service cloud de filtrage du courrier électronique qui vous aide à protéger votre organization contre les menaces avancées pour les outils de messagerie et de collaboration, comme le hameçonnage, la compromission des e-mails professionnels et les attaques de logiciels malveillants. Vous pouvez utiliser les API analyzedemails et de correction de Microsoft Graph pour récupérer les métadonnées d’e-mail et effectuer des actions de réponse (suppression réversible, suppression définitive, déplacement vers du courrier indésirable, déplacement vers la boîte de réception) sur les messages analysés.
Note: Ces API sont disponibles uniquement pour les plans de service de sécurité Defender for Office 365 Plan 2 ou Microsoft 365 A5/E5/F5/G5. Pour obtenir la liste la plus à jour des plans de service, consultez Microsoft Defender pour Office 365 description du service.
Capteurs
L’API de gestion des capteurs Defender pour Identity vous permet de créer des rapports détaillés sur les capteurs de votre espace de travail, notamment des informations sur le nom du serveur, la version du capteur, le type, l’état et l’intégrité status. Il vous permet également de gérer les paramètres du capteur, tels que l’ajout de descriptions, l’activation ou la désactivation des mises à jour retardées, et la spécification du contrôleur de domaine auquel le capteur se connecte pour interroger l’ID Entra.
Cas d’utilisation courants
Voici quelques-unes des demandes les plus populaires pour l’utilisation de l’API de sécurité Microsoft Graph.
Vous pouvez utiliser des webhooks Microsoft Graph pour vous abonner et recevoir des notifications sur les mises à jour des entités de l’API de sécurité Microsoft Graph.
Étapes suivantes
L’API de sécurité Microsoft Graph peut vous ouvrir de nouvelles façons d’interagir avec différentes solutions de sécurité de Microsoft et de partenaires. Pour commencer, procédez comme suit :
- Explorer alerts, tiIndicator (préversion), securityAction (préversion), secureScore et secureScoreControlProfiles.
- Essayez l’API dans l’Afficheur Graph. Dans Exemples de requêtes, sélectionnez afficher d’autres exemples et définir la catégorie de sécurité comme activée.
- Essayez S’abonner et recevoir des notifications pour les modifications d’entité.
Contenu connexe
Codez et contribuez à cet exemple d’API de sécurité Microsoft Graph :
Explorez d’autres options pour vous connecter à l’API de sécurité Microsoft Graph :
- Connecteurs de sécurité Microsoft Graph pour Logic Apps, Flow et Power Apps
- Exemples de bloc-notes Jupyter
Collaboration avec la communauté :