Microsoft Intelligent Security Graph erkunden
Microsoft hat den Microsoft Intelligent Security Graph (kurz Microsoft Graph) erstellt, um seinen Kunden zu helfen:
- Konzentrieren Sie sich auf die Verhinderung von Sicherheitsverletzungen.
- Weniger Ausgaben für die Wiederherstellung von Sicherheitsverletzungen.
Der Intelligent Security Graph nutzt zum Schutz vor Cyberbedrohungen fortschrittliche Analysen, um große Mengen an Bedrohungsinformationen und Sicherheitsdaten von Microsoft und seinen Partnern zu verknüpfen. Erkenntnisse aus dem Intelligent Security Graph unterstützen den Echtzeit-Bedrohungsschutz in Microsoft-Produkten und -Diensten. Microsoft fügt dem Security Graph jede Sekunde Daten im Wert von Hunderten von GB hinzu. Diese anonymisierten Daten stammen aus:
- Über hundert Microsoft-Rechenzentren auf der ganzen Welt.
- Bedrohungen für über 1 Milliarde PCs, die jeden Monat Updates Windows Update.
- Externe Datenpunkte, die durch umfangreiche Forschung und Partnerschaft mit Industrie und Strafverfolgung gesammelt wurden. Diese Forschung wird von der Digital Crime Unit und dem Cybersecurity Defense Operations Center von Microsoft verwaltet.
Microsoft Intelligent Security Graph unterstützt Threat Intelligence in Microsoft 365. Microsoft Intelligent Security Graph:
- Täglich 6,5 Billionen Signale im Microsoft 365 Netzwerk verbraucht. Ein Signal ist ein Begriff, der Informationsdatenverkehr bedeutet.
- Verwendet fortschrittliche Analysen, die aus künstlicher Intelligenz und maschinellen Lernfunktionen bestehen.
- Integriert diese Daten in die Bedrohungserkennungs- und Reaktionsfunktionen von Microsoft, um verschiedene Angriffsszenarien zu bewältigen.
Der Intelligent Security Graph und andere Feeds von Drittanbietern, einschließlich Expertenteams, die auf der ganzen Welt nach schädlichen Aktivitäten suchen, sammeln diese Signale. Modelle für maschinelles Lernen und künstliche Intelligenz analysieren umfangreiche Sicherheitssignale, um Schwachstellen und Bedrohungen zu erkennen. Die große Anzahl von Signalen ermöglicht es Microsoft, den gesamten Kontext eines Ereignisses zu verstehen, um eine schnelle Erkennung von Bedrohungen und automatische Reaktionen zu ermöglichen.
Microsoft leitet diese Signale in die folgenden Plattformen ein: Windows, Azure und Microsoft 365. Microsoft integriert dann diese Signale, so dass die Sicherheitsdienste einer Plattform mit den Sicherheitsdiensten der anderen Plattformen kommunizieren können.
Infolgedessen wird jede Bedrohung, die in Windows erkannt wird, automatisch und schnell zu der Gruppe von Bedrohungen hinzugefügt, die Microsoft 365 betrachtet. Dieses Design bietet umfassende Einblicke in die sich entwickelnde Cyber-Bedrohungslandschaft.
Microsoft Graph-Sicherheits-API
Microsoft Graph unterstützt auch die Microsoft Graph-Sicherheits-API, die Teil von Microsoft Graph ist. Die Graph-Sicherheits-API bietet ein einheitliches Gateway, um Sicherheitserkenntnisse über die Microsoft-Plattform und Partnerlösungen hinweg zu teilen und darauf zu reagieren. Mit diesem Design können Organisationen ihre Sicherheitslösungen integrieren, um den Sicherheitsbetrieb und die Effizienz zu verbessern. Entwickler können den Security Graph nutzen, um intelligente Sicherheitsdienste zu entwickeln, die:
- Verwenden Sie einen einzelnen API-Aufruf, um auf Sicherheitserkenntnisse aus mehreren Sicherheitslösungen zuzugreifen oder darauf zu reagieren.
- Die Sperrung kontextbezogener Daten aufheben, um Untersuchungen zu ermöglichen.
- SecOps automatisieren, um eine höhere Effizienz zu erzielen.
Die Microsoft Graph-Sicherheits-API ist ein zwischengeschalteter Dienst (oder Broker), der eine einzige programmgesteuerte Schnittstelle bereitstellt, um mehrere Microsoft Graph-Sicherheitsanbieter (auch als Sicherheitsanbieter oder -anbieter bezeichnet) zu verbinden. Anforderungen an die Microsoft Graph-Sicherheits-API werden mit allen anwendbaren Sicherheitsanbietern verbunden. Die Ergebnisse werden aggregiert und an die anfordernde Anwendung in einem gemeinsamen Schema zurückgegeben, wie im folgenden Diagramm dargestellt. Weitere Informationen finden Sie unter Datenfluss der Microsoft Graph-Sicherheits-API.
Die Microsoft Graph-Sicherheits-API ist eine einheitliche API, die:
- Stellt eine Standardschnittstelle und ein einheitliches Schema bereit.
- Integriert Sicherheitswarnungen und Threat Intelligence aus mehreren Quellen.
- Reichert Warnungen und Daten mit Kontextinformationen an.
- Automatisiert Sicherheitsvorgänge.
Zusätzliche Anzeige. Nehmen Sie sich einige Minuten Zeit, und watch Sie das folgende kurze Video: Microsoft Graph und Sicherheits-API.
Vorteile der Verwendung der Microsoft Graph-Sicherheits-API
In der folgenden Tabelle sind einige der wichtigsten Vorteile der Verwendung der Microsoft Graph-Sicherheits-API aufgeführt.
| Nutzen | Beschreibung |
|---|---|
| Übermitteln Sie Bedrohungen und lösen Sie den gesamten Automatisierungsfluss aus | Übermitteln Sie Bedrohungen über Sicherheitslösungen hinweg einfacher mit einer einheitlichen API für die Übermittlung von Sicherheitsbedrohungen. Mit diesem Vorteil können Sie nicht nur Bedrohungen übermitteln, sondern auch Ergebnisse der Bedrohungsübermittlung abrufen und downstream-Warnungsflüsse auslösen. Die neue einheitliche API für die Übermittlung von Sicherheitsrisiken unterstützt sowohl Anwendungsberechtigungen als auch delegierte Berechtigungen, um Ihnen beim Erstellen neuer Sicherheitslösungen zu helfen. |
| Vereinheitlichen und Standardisieren der Warnungsverfolgung | Stellen Sie einmalig eine Verbindung her, um Warnungen aus beliebigen in Microsoft Graph integrierten Sicherheitslösungen zu integrieren, und halten Sie Warnungsstatus und Aufgaben für alle Lösungen synchronisiert. Sie können Warnungen auch an SIEM-Lösungen (Security Information and Event Management) wie Splunk mithilfe von Microsoft Graph-Sicherheits-API-Connectors streamen. Weitere Informationen zu Lösungsintegrationen mit den Sicherheits-API-Entitäten finden Sie unter Integrationen von Sicherheitslösungen mithilfe der Microsoft Graph-Sicherheits-API. |
| Korrelierende Sicherheitswarnungen zur Verbesserung des Bedrohungsschutzes und der Reaktion | Korrelieren Sie Warnungen über Sicherheitslösungen hinweg mit einem einheitlichen Warnungsschema. Mit diesem Vorteil können Sie umsetzbare Warnungsinformationen erhalten. Außerdem können Sicherheitsanalysten Warnungen mit Ressourcen- und Benutzerinformationen pivotieren und anreichern. Diese Informationen ermöglichen eine schnellere Reaktion auf Bedrohungen und Ressourcenschutz. |
| Aktualisieren von Warnungskategorien, -status und -zuweisungen | Kennzeichnen Sie Warnungen mit zusätzlichem Kontext oder Threat Intelligence, um reaktions- und korrekturbezogene Informationen zu erhalten. Das System erfasst Kommentare und Feedback zu Warnungen, um Sichtbarkeit für alle Workflows zu erhalten. Synchronisierung Sie Warnungsstatus und -zuweisungen, damit alle integrierten Lösungen den aktuellen Status widerspiegeln. Verwenden Sie Webhook-Abonnements, um über Änderungen benachrichtigt zu werden. |
| Aufheben der Sperrung von Sicherheitskontext zu Untersuchungszwecken | Vertiefen Sie sich mit dem zugehörigen sicherheitsrelevanten Bestand (z. B. Benutzer, Hosts und Apps), und fügen Sie dann organisationsbezogenen Kontext von anderen Microsoft Graph-Anbietern (Microsoft Entra ID, Microsoft Intune, Microsoft 365) hinzu, um Geschäfts- und Sicherheitskontexte zusammenzubringen und die Reaktion auf Bedrohungen zu verbessern. Anmerkung: Azure Active Directory (Azure AD) ist jetzt Microsoft Entra ID. Weitere Informationen. |
| Automatisieren von Sicherheitsworkflows und -berichten | Automatisieren Sie Sicherheitsverwaltung, -überwachung und -untersuchungen, um die betriebliche Effizienz und die Reaktionszeiten zu verbessern. Erhalten Sie tiefere Einblicke und kontextbezogener, indem Sie die Microsoft Graph-Sicherheit in Ihre Berichte und Dashboards integrieren. |
| Erhalten Sie tiefe Einblicke, um Ihre Sicherheitslösungen zu trainieren. | Visualisieren Sie Ihre Daten über verschiedene in Ihrem Unternehmen ausgeführte Sicherheitsprodukte hinweg, um tiefere Einblicke in die Sicherheit zu erhalten. Entdecken Sie Möglichkeiten, wie Sie aus den Daten lernen und Ihre Sicherheitslösungen trainieren können. Das Schema bietet mehrere Eigenschaften, auf die Sie sich stützen können, um aus Ihren Sicherheitsdaten umfangreiche explorative Datasets zu erstellen. |
| Verwalten Sie Ihre eDiscovery-Workflows | Organisationen verlassen sich auf Microsoft Purview-eDiscovery Funktionen, um die Wahrheit darüber zu finden, was in ihren organization passiert ist. Dies geschieht basierend auf internen oder externen Anforderungen, z. B. Rechtsstreitigkeiten, Untersuchungen oder Einhaltung gesetzlicher Bestimmungen. In vielen Organisationen sind eDiscovery-Workflows häufig, kritisch und umfangreich. In Fällen, in denen häufige wiederholte Aufgaben oder eine große Anzahl von Aktivitäten vorhanden sind, bieten die APIs eine skalierbare Möglichkeit, Prozesse konsistent und effektiv zu wiederholen. In vielen Organisationen wird eine große Anzahl von Fällen und eDiscovery-Anforderungen verarbeitet, daher möchten sie einige Aufgaben lieber automatisieren. Die Microsoft Graph-APIs für Microsoft Purview-eDiscovery (Premium) bieten API-Zugriff auf die meisten Funktionen, die in der Microsoft Purview-eDiscovery (Premium)-Lösung verfügbar sind. Abhängig von ihren aktuellen Systemen und Prozessen können Organisationen verschiedene Prioritäten für Automatisierung und Integration haben. Beispielsweise von Upstream Prozessen wie der Fallerstellung bis hin zum Downstream wie Sammlung, Überprüfungssatzabfragen oder Export. Die Unterstützung von Workflows mit APIs in Microsoft Purview-eDiscovery (Premium) bietet Flexibilität und Optionen. |
Partnerintegration mithilfe der Microsoft Graph-Sicherheits-API
Die Microsoft Graph-Sicherheits-API erleichtert die Verbindung mit Sicherheitslösungen von Microsoft und Partnern. Sie ermöglicht es Ihnen, den Wert dieser Lösungen besser zu erkennen und ggf. zu erweitern. Organisationen entdecken mehr Wert, wenn sie die anderen Microsoft Graph-Entitäten untersuchen (Microsoft 365, Microsoft Entra ID, Intune und mehr). Auf diese Weise wird der Geschäftskontext mit ihren Sicherheitserkenntnissen verknüpft.
Microsoft ermöglicht die Integration von Technologiepartnern auf zwei wichtige Arten.
- Als Consumer von Informationen von Microsoft Graph können Sie Ihre Lösungen mit Informationen ergänzen, die in Microsoft Graph enthalten sind. Sie können auch die Microsoft Graph-API verwenden, um Aufgaben im Auftrag eines Kunden auszuführen.
- Sie können Ihre Warnungen und Aktionen auch zusammen mit Microsoft-Anbietern zu Microsoft Graph beitragen.
| Wie lässt sich die Integration durchführen? | Verfügbaren Daten | Unterstützte Funktionen |
|---|---|---|
| Integrieren Sie Ihre Anwendung in die Microsoft Graph-Sicherheits-API. | – Warnungen von Microsoft Graph-Sicherheitsanbietern – Sicherheitsbewertungen von Microsoft |
- Abfragewarnungen/Sicherheitsbewertung – Aufrufen einer Microsoft Graph-Sicherheitsaktion – Aktualisieren einer Microsoft Graph-Sicherheitswarnung – Hochladen von Kundenbedrohungsindikatoren zu Microsoft |
| Ermöglichen Sie anderen Benutzern die Integration in Ihre Produkte über die Microsoft Graph-Sicherheits-API. | - Warnungen von Ihren Sicherheitsprodukten |
- Sicherheitsaktionen für Ihr Sicherheitsprodukt |
In der folgenden Tabelle sind die Vorteile aufgeführt, auf die verschiedene Sicherheitslösungen durch die Integration in die Microsoft Graph-Sicherheits-API zugreifen können.
| Bereich | Nutzen |
|---|---|
| Managed Security Service Providers (MSSPs) | – Optimierte Integration mit Tools für Sicherheitsvorgänge, Workflows und Berichterstellung. - Reduzierte Bereitstellungs- und Wartungszeit und -aufwand. - Automatisierte Reaktion auf Warnungen durch Ergreifen von Maßnahmen auf Bedrohungen. - Die Fähigkeit, MSSP-Kunden einen mehrwertigen Mehrwert zu bieten. |
| SIEM- und Risikomanagementlösungen | – Reibungslose Integration mit Microsoft-Sicherheitslösungen und Ökosystempartnern. – Umfangreiche Warnungsmetadaten. - Bessere Warnungskorrelation. |
| Anwendungen (Threat Intelligence, Mobile, Cloud, IOT, Betrugserkennung, Identität und Zugriff, Risiko und Compliance, Firewall usw.) |
- Einheitliches Bedrohungsmanagement, -prävention und -risikomanagement in verschiedenen Sicherheitslösungen. – Warnungen, Aktionen und Kundenbedrohungsinformationen, die über Microsoft Graph verfügbar gemacht werden. – Sofortige Integration in Microsoft Graph-fähige Lösungen. - Gewinnen Sie umfassende Sicherheitserkenntnisse, um andere Sicherheitslösungen zu trainieren. |
Zusätzliche Informationen. Weitere Informationen finden Sie unter Partnerschaften mit der Microsoft Graph Security API – Möglichkeiten für Technologiepartner.