与 Microsoft Graph 安全性 API合作的机会

本文介绍 Microsoft Graph 安全性 API提供的合作伙伴机会。 它旨在帮助产品经理和业务开发角色了解投资路径，并提供对合作价值主张的见解。

背景

大多数组织处理大量的安全数据，并且其企业中有数十个安全解决方案，这使得集成各种产品和服务的任务变得艰巨而复杂。 这些挑战阻碍了组织在快速移动的破坏性攻击中检测和修正威胁时快速行动的能力。

技术合作伙伴可以使用 Microsoft Graph 安全性 API与 Microsoft 平台集成，以解决这些客户难题。

Microsoft Graph 安全性 API简介

Microsoft Graph 安全性 API 是一种统一的 API，提供标准界面和统一架构来集成来自多个源的安全警报和威胁智能、丰富警报和数据的上下文信息，并自动化安全操作。

安全 API 是 Microsoft Graph 的一部分，它是一个用于集成来自 Microsoft 和合作伙伴产品和服务的数据和情报的统一 REST API。 使用 Microsoft Graph，客户和合作伙伴可以快速构建仅验证一次的解决方案，并使用单个 API 调用访问来自多个安全解决方案的安全见解或为此采取行动。 当你浏览其他 Microsoft Graph 实体 (Microsoft 365、Microsoft Entra ID、Intune等) 来将业务上下文与安全见解联系起来时，将发现更多价值。

Microsoft 通过两个关键方式实现技术合作伙伴集成。

1. 作为 Microsoft Graph 中信息的使用者，可以使用 Microsoft Graph 中包含的信息扩充解决方案，并使用 Microsoft 图形 API代表客户执行任务。
2. 你还可以将你的警报和操作与 Microsoft 提供商一起贡献给 Microsoft Graph。

让我们更深入地探讨一些常见方案，其中 Microsoft Graph 安全性 API集成放大了安全集成投资，以及我们可以共同为客户带来的好处。

特色技术合作伙伴方案

以下是通过与 Microsoft Graph 安全性 API集成可以获得的三个关键优势：

1. 客户将从安全性有效性和操作的改进中受益。
2. 你的客户将从你的和其他集成合作伙伴产品提供的丰富信息中受益。
3. 简化了技术合作伙伴的工程投资，并通过与 Microsoft Graph 安全性 API集成来放大客户价值。

使用 Microsoft Graph 安全性 API增强威胁防护

启用安全警报的更轻松集成，以通知威胁检测和响应。

• 将来自 Microsoft Graph 安全提供程序的警报/检测与检测相关联，以改善调查结果并支持自动化。
• 通过 Microsoft Graph 访问检测和上下文，以改进威胁响应 - 会审、调查、修正。
• 访问客户威胁情报 (哈希、IP、URL、域等 ) 来阻止/发出恶意活动的警报。

简化 IT 和安全管理

提供更高的可见性并简化事件生命周期的管理。

• 聚合来自多个提供程序的警报以创建事件。
• 访问更多上下文以通知警报优先级和响应。
• 使警报状态跨管理警报的系统保持同步。
• 深入了解安全状况，并建议如何使用安全功能分数对其进行改进。

共享威胁情报以启用自定义检测

使用威胁情报为 Microsoft 解决方案中的自定义检测提供支持。

• 自动将威胁指示器发送到 Microsoft 安全解决方案，以启用警报、阻止或允许操作。
• 启用快速操作，从安全工具和工作流中抵御新的威胁，例如阻止文件、URL、域、IP 地址。
• 客户提供的 TI 仅用于提供客户，而不适用于任何其他 Microsoft 客户。

技术集成概述

Microsoft Graph 安全性 API合作伙伴机会通过两个主要集成路径提供，这些路径可以单独使用或一起使用。 本文介绍高级要求，并提供有关如何考虑投资这些路径的见解。

支持的实体：

• 警报 是“具有安全影响的结论”，而不是原始日志数据或其他不相关的信息。 了解详细信息。
• 威胁指示器（也称为入侵指标或 IoC）表示有关已知威胁的数据，例如恶意文件、URL、域和 IP 地址。 客户可以通过内部威胁情报收集来生成指标，或者从威胁情报社区、许可源和其他来源获取指标。 了解详细信息。
• 安全操作 使技术合作伙伴能够通过 Graph 公开功能。 例如，如果安全解决方案支持阻止 IP 地址的功能，则可以在 Graph 中公开“阻止 IP”作为功能。 其他 Graph 安全性 API产品可以通过 Graph 调用你的操作。 了解详细信息。
• 安全功能分数... 了解详细信息。

将应用程序与 Microsoft Graph 安全性 API集成

所有集成应用程序 都必须注册 到 Microsoft Graph。 支持单个客户使用的应用程序和许多客户使用的应用程序 (多租户) 。 在任一情况下，客户都必须向应用程序授予许可。 调用 Microsoft Graph 时，来自应用程序的每个请求都将包含应用程序标识符和你代表呼叫的客户。 支持以下类型的请求：

• 获取警报 – 根据需要通过筛选获取警报信息。 例如：显示特定用户、主机等的所有高优先级警报或“所有高优先级警报”。
• 更新警报状态 - 启用对警报生命周期的管理。 例如：将警报状态从“正在进行”设置为“已解决”或向警报添加批注。
• 获取安全功能分数 - Microsoft 安全功能分数是 Microsoft 产品安全配置的“信用评级”类型值。
• 订阅 - 允许通知警报或查询的更改。
• 源自定义威胁指示器 - 自动将威胁指示器发送到 Microsoft 安全解决方案，以启用警报、阻止或允许操作。 直接使用 Microsoft Graph 安全性 API或利用与领先的威胁情报平台的集成。
• 调用 Microsoft Graph 安全操作 - 立即采取措施，使用 Microsoft Graph Security securityActions 实体防御威胁。

允许其他人通过 Microsoft Graph 安全性 API与你的产品集成

Microsoft Graph 安全提供商通过 Microsoft Graph 向其他人提供其安全警报。 生成安全警报的 Microsoft 产品都具有向 Microsoft Graph 公开其各自警报的提供商。 此外，Microsoft Graph 安全性 API允许外部提供商，使你作为 Microsoft 技术合作伙伴能够在 Microsoft Graph 中共享应用程序的相关安全警报，供客户使用。 除了警报之外，Microsoft Graph SecurityActions 还允许技术合作伙伴通过 Microsoft Graph 公开功能。 例如，如果安全解决方案支持阻止 IP 地址的功能，则可以在 Microsoft Graph 中公开“阻止 IP”作为功能。 其他 Microsoft Graph 安全产品可以通过 Microsoft Graph 调用你的操作。

Microsoft Graph 安全提供程序本质上是一个云终结点，它响应来自 Microsoft Graph 安全性 API的请求，并返回相关的安全警报或为共同客户执行操作。 客户和服务到服务身份验证可确保对客户警报和操作的访问安全。

提供程序方案各不相同。 特选的载入过程从识别相关方案开始。 当方案达成一致后，可以使用文档、示例代码和开发环境来支持 Microsoft Graph 安全提供程序的开发。

入门

载入指南和技术文档

• Microsoft Graph 安全性 API概述
• API 参考
• 警报架构
• tiIndicator 架构
• 安全操作架构
• 安全功能分数架构

示例代码

• Microsoft Graph 安全性示例
• 参与 Microsoft Graph 安全性示例

帮助和支持

• 如果对应用程序或服务或产品与 Microsoft Graph 安全性 API集成有任何疑问，请联系使用 Microsoft 安全性图形 API技术社区。
• 按照 Microsoft Q&A 上的讨论，标记为 microsoft-graph-security。
• 如果在相应的示例 存储库中发现示例或文档请求或 bug 文件问题中的 bug。
• 如果新的示例请求或问题未限定为单个示例，请在 Microsoft Graph 安全解决方案存储库中提交问题。

进入市场

• Microsoft 合作伙伴网络 - 与 Microsoft 合作的主要计划是 Microsoft 合作伙伴网络。 Microsoft Graph 安全性集成属于 MPN 独立软件供应商 (ISV) 跟踪。
• Microsoft 智能安全关联 是专门为 Microsoft 安全合作伙伴准备的计划，可帮助丰富安全产品并提高客户对 Microsoft 安全产品集成的可发现性。
• Microsoft AppSource – 作为 Microsoft Graph 安全性 API合作伙伴，你可以在 Microsoft AppSource 市场中列出 Microsoft Graph 集成。