Esplorare Microsoft Intelligent Security Graph
Microsoft ha creato Microsoft Intelligent Security Graph, o Microsoft Graph in breve, per aiutare i clienti:
- Concentrarsi sulla prevenzione delle violazioni.
- Spendere meno per il recupero delle violazioni.
Per contrastare gli attacchi informatici, Intelligent Security Graph si avvale di analisi avanzate per collegare una vasta quantità di dati di sicurezza e di intelligence sulle minacce provenienti da Microsoft e partner. I dati analitici di Intelligent Security Graph forniscono la protezione dalla minacce in tempo reale nei prodotti e nei servizi Microsoft. Ogni secondo, Microsoft aggiunge centinaia di gb di dati al grafico di sicurezza. Questi dati anonimi provengono da:
- Oltre un centinaio di data center Microsoft in tutto il mondo.
- Minacce affrontate da oltre 1 miliardo di PC che Windows Update aggiornamenti ogni mese.
- Punti dati esterni raccolti attraverso un'ampia ricerca e partnership con l'industria e le forze dell'ordine. L'Unità criminalità digitale di Microsoft e il Centro operativo per la difesa della cybersecurity gestiscono questa ricerca.
Microsoft Intelligent Security Graph supporta l'intelligence sulle minacce in Microsoft 365. Microsoft Intelligent Security Graph:
- Si basa su 6,5 miliardi di segnali, ricevuti ogni giorno attraverso la rete Microsoft 365. Un segnale è un termine che indica il traffico di informazioni.
- Si avvale di analisi avanzate costituite da funzionalità di intelligenza artificiale e apprendimento automatico.
- Integra questi dati tra le funzionalità di rilevamento e risposta alle minacce di Microsoft per affrontare diversi scenari di attacco.
Intelligent Security Graph e altri feed di terze parti, inclusi team di esperti che cercano attività dannose in tutto il mondo, raccolgono questi segnali. I modelli di apprendimento automatico e l'intelligenza artificiale analizzano estesi segnali di sicurezza per identificare vulnerabilità e minacce. La vasta portata dei segnali consente a Microsoft di comprendere il contesto completo di un evento, al fine di favorire il rilevamento rapido delle minacce e la risposta automatizzata.
Microsoft inserisce questi segnali nelle piattaforme seguenti: Windows, Azure e Microsoft 365. Microsoft integra quindi questi segnali, in modo che i servizi di sicurezza in una piattaforma possano comunicare con quelli di una delle altre piattaforme.
Di conseguenza, qualsiasi minaccia rilevata in Windows viene aggiunta automaticamente e rapidamente al set di minacce visualizzato da Microsoft 365. Questo progetto fornisce informazioni approfondite sull'evoluzione del panorama delle minacce informatiche.
API di sicurezza di Microsoft Graph
Microsoft Graph supporta anche l'API di sicurezza di Microsoft Graph, che fa parte di Microsoft Graph. L'API di sicurezza Graph fornisce un gateway unificato per condividere e agire sulle informazioni dettagliate sulla sicurezza nella piattaforma Microsoft e nelle soluzioni per i partner. Questa progettazione consente alle organizzazioni di integrare le proprie soluzioni di sicurezza per migliorare le operazioni di sicurezza e l'efficienza. Gli sviluppatori possono utilizzare Security Graph per creare servizi di sicurezza intelligente che:
- Usare una singola chiamata API per accedere o agire sulle informazioni dettagliate sulla sicurezza da più soluzioni di sicurezza.
- Sbloccano i dati contestuali per informare le indagini.
- Automatizzano secOps per una maggiore efficienza.
L'API di sicurezza di Microsoft Graph è un servizio intermediario (o broker) che fornisce una singola interfaccia a livello di codice per connettere più provider di sicurezza di Microsoft Graph (detti anche provider o provider di sicurezza). Le richieste all'API di sicurezza di Microsoft Graph sono federate a tutti i provider di sicurezza applicabili. I risultati vengono aggregati e restituiti all'applicazione richiedente in uno schema comune, come illustrato nel diagramma seguente. Per informazioni dettagliate, vedere Flusso di dati dell'API di sicurezza di Microsoft Graph.
Microsoft Graph API Sicurezza è un'API unificata che:
- Fornisce un'interfaccia standard e uno schema uniforme.
- Integra avvisi di sicurezza e intelligence sulle minacce da più origini.
- Arricchisce avvisi e dati con informazioni contestuali.
- Automatizza le operazioni di sicurezza.
Visualizzazione aggiuntiva. Attendere alcuni minuti e watch il breve video seguente: Microsoft Graph e API Sicurezza.
Vantaggi dell'uso dell'API di sicurezza di Microsoft Graph
La tabella seguente identifica alcuni dei vantaggi principali dell'uso dell'API di sicurezza di Microsoft Graph.
| Benefici | Descrizione |
|---|---|
| Inviare minacce e attivare l'intero flusso di automazione | Inviare più facilmente le minacce nelle soluzioni di sicurezza con un'API unificata per l'invio di minacce alla sicurezza. Questo vantaggio consente non solo di inviare minacce, ma anche di ottenere i risultati dell'invio di minacce e di attivare i flussi di avviso downstream. La nuova API di invio di minacce alla sicurezza unificata supporta sia le autorizzazioni delegate che le applicazioni per semplificare la creazione di nuove soluzioni di sicurezza. |
| Unificare e standardizzare il rilevamento degli avvisi | Connettersi una volta per integrare gli avvisi da qualsiasi soluzione di sicurezza integrata in Microsoft Graph e mantenere sincronizzati lo stato e le assegnazioni degli avvisi in tutte le soluzioni. È anche possibile trasmettere gli avvisi a soluzioni SIEM (Security Information And Event Management), ad esempio Splunk usando i connettori dell'API di sicurezza di Microsoft Graph. Per altre informazioni sulle integrazioni di soluzioni con le entità dell'API di sicurezza, vedi Integrazioni di soluzioni di sicurezza con l'API di sicurezza di Microsoft Graph. |
| Correlare gli avvisi di sicurezza per migliorare la protezione e la risposta alle minacce | Correlare più facilmente gli avvisi tra le soluzioni di sicurezza con uno schema di avviso unificato. Questo vantaggio consente di ricevere informazioni di avviso interattive. Consente inoltre agli analisti della sicurezza di eseguire il pivot e arricchire gli avvisi con informazioni sugli asset e sugli utenti. Queste informazioni consentono una risposta più rapida alle minacce e alla protezione degli asset. |
| Aggiornare tag di avviso, stato e assegnazioni | Contrassegnare gli avvisi con contesto aggiuntivo o intelligence sulle minacce per informare la risposta e la correzione. Il sistema acquisisce commenti e commenti sugli avvisi per ottenere visibilità su tutti i flussi di lavoro. Mantenere sincronizzati lo stato degli avvisi e le assegnazioni in modo che tutte le soluzioni integrate riflettano lo stato corrente. Usare le sottoscrizioni webhook per ricevere una notifica delle modifiche. |
| Sbloccare il contesto di sicurezza per guidare l'indagine | Approfondire l'inventario correlato relativo alla sicurezza (ad esempio utenti, host e app), quindi aggiungere il contesto aziendale da altri provider di Microsoft Graph (Microsoft Entra ID, Microsoft Intune, Microsoft 365) per riunire i contesti aziendali e di sicurezza e migliorare la risposta alle minacce. Nota: Azure Active Directory (Azure AD) è ora Microsoft Entra ID. Altre informazioni. |
| Automatizzare i flussi di lavoro di sicurezza e la creazione di report | Automatizzare la gestione della sicurezza, il monitoraggio e le indagini per migliorare l'efficienza operativa e i tempi di risposta. Ottenere informazioni dettagliate e contesto più approfonditi integrando la sicurezza di Microsoft Graph nei report e nei dashboard. |
| Ottenere informazioni approfondite per il training delle soluzioni di sicurezza | Visualizzare i dati in diversi prodotti di sicurezza in esecuzione nell'organizzazione per ottenere informazioni più approfondite sulla sicurezza. Scoprire le opportunità di apprendere dai dati ed eseguire il training delle soluzioni di sicurezza. Lo schema fornisce più proprietà su cui eseguire il pivot per creare set di dati esplorativi avanzati usando i dati di sicurezza. |
| Gestire i flussi di lavoro di eDiscovery | Le organizzazioni si affidano alle funzionalità Microsoft Purview eDiscovery per trovare la verità su ciò che è successo nella propria organizzazione. Lo fanno in base a requisiti interni o esterni, ad esempio controversie legali, indagini o conformità alle normative. In molte organizzazioni, i flussi di lavoro di eDiscovery sono frequenti, critici e volumi elevati. Nei casi in cui sono presenti attività ripetute comuni o un volume elevato di attività, le API forniscono un modo scalabile per ripetere i processi in modo coerente ed efficace. Molte organizzazioni gestiscono un volume elevato di casi e richieste di eDiscovery e preferiscono automatizzare alcune attività. Le API Microsoft Graph per Microsoft Purview eDiscovery (Premium) forniscono l'accesso API alla maggior parte delle funzioni disponibili nella soluzione Microsoft Purview eDiscovery (Premium). A seconda dei sistemi e dei processi correnti, le organizzazioni potrebbero avere diverse priorità per l'automazione e l'integrazione. Ad esempio, dai processi upstream, ad esempio la creazione di case, al downstream, ad esempio la raccolta, la revisione di query set o l'esportazione. Il supporto dei flussi di lavoro con le API in tutta Microsoft Purview eDiscovery (Premium) offre flessibilità e opzioni. |
Integrazione dei partner tramite l'API di sicurezza di Microsoft Graph
L'API di sicurezza di Microsoft Graph semplifica la connessione con le soluzioni di sicurezza di Microsoft e dei partner. Consente di realizzare e arricchire più facilmente il valore di queste soluzioni. Le organizzazioni scoprono più valore quando esplorano le altre entità di Microsoft Graph (Microsoft 365, Microsoft Entra ID, Intune e altro ancora). In questo modo, il contesto aziendale viene associato alle informazioni dettagliate sulla sicurezza.
Microsoft abilita l'integrazione dei partner tecnologici in due modalità fondamentali.
- In qualità di consumatore di informazioni provenienti da Microsoft Graph, l'utente può arricchire le soluzioni con le informazioni contenute in Microsoft Graph. È anche possibile usare l'API Microsoft Graph per eseguire attività per conto di un cliente.
- È anche possibile contribuire con avvisi e azioni a Microsoft Graph insieme ai provider Microsoft.
| Come si esegue l'integrazione? | Dati disponibili | Capacità supportate |
|---|---|---|
| Integrare l'applicazione con l'API di sicurezza di Microsoft Graph. | - Avvisi dai provider di sicurezza di Microsoft Graph - Proteggere i punteggi da Microsoft |
- Avvisi di query/Punteggio di sicurezza - Chiamare un'azione di sicurezza di Microsoft Graph - Aggiornare un avviso di Microsoft Graph Security - Caricare gli indicatori di minaccia dei clienti in Microsoft |
| Consentire ad altri utenti di integrarsi con i prodotti tramite l'API di sicurezza di Microsoft Graph. | - Avvisi dai prodotti di sicurezza |
- Azioni di sicurezza per il prodotto di sicurezza |
Nella tabella seguente sono elencati i vantaggi a cui possono accedere le diverse soluzioni di sicurezza tramite l'integrazione con l'API di sicurezza di Microsoft Graph.
| Area | Vantaggi |
|---|---|
| Provider di servizi di sicurezza gestiti (MSSP) | - Integrazione semplificata con strumenti, flussi di lavoro e report per le operazioni di sicurezza. - Riduzione dei tempi e delle attività di distribuzione e manutenzione. - Risposta automatizzata agli avvisi eseguendo azioni sulle minacce. - Possibilità di offrire più valore ai clienti MSSP. |
| Soluzioni di gestione dei rischi SIEM e IT | - Integrazione senza problemi con soluzioni di sicurezza Microsoft e partner dell'ecosistema. - Metadati degli avvisi avanzati. - Migliore correlazione degli avvisi. |
| Applicazioni (Intelligence per le minacce, dispositivi mobili, cloud, IOT, rilevamento delle frodi, identità e accesso, rischio e conformità, firewall e così via) |
- Gestione unificata delle minacce, prevenzione e gestione dei rischi in varie soluzioni di sicurezza. - Avvisi, azioni e intelligence sulle minacce dei clienti esposti tramite Microsoft Graph. - Integrazione immediata con soluzioni abilitate per Microsoft Graph. - Ottenere informazioni approfondite sulla sicurezza per eseguire il training di altre soluzioni di sicurezza. |
Letture aggiuntive. Per altre informazioni, vedere Collaborazione con l'API Microsoft Graph Security: opportunità per i partner tecnologici.