问题标签 [microsoft-graph-security]

有人知道 Office 365 安全与合规中心是否有一个休息 API，可以将警报策略引发的任何警报返回给我？

似乎有一些 PowerShell cmdlet 允许创建新的警报策略，但我想下拉由这些策略生成的警报（最好不使用 PowerShell）。

也许这是未来 Microsoft Graph API 的路线图？

对于将我的 SIEM（安全信息和事件管理系统）与 Microsoft Graph 集成以将我的安全警报与其他 Microsoft Graph 实体连接起来，是否有任何指导？

新的 Microsoft Graph 安全 API 应该从不同的安全提供商返回数据，目前是 Azure AD 身份保护和 Azure 安全中心。

但是https://graph.microsoft.com/beta/security/alerts没有返回任何数据（value: []）。

我们测试了/security/alerts来自 2 个不同租户的 API。在这两个租户中，我们都有 Azure AD 身份保护和 Azure 安全中心警报。我们可以在 Azure 门户中从它们各自的刀片中看到这些警报，但会/beta/security/alerts返回：

我们已通过适当的权限进行身份验证。我们已经从 Graph Explorer 和两个 c# 示例（桌面和 asp.net）中尝试过它

有任何想法吗？

我想阅读我的电子邮件并将它们转换为 json。我正在使用Microsoft Graph API像这样查询 office 365 邮箱

我按照本教程进入了这个阶段。但是我的消息正文以 html 而不是文本形式返回。有没有办法可以指定 message.body 返回文本甚至 json 而不是 HTML？

我可以使用以下方法检索安全警报：

现在我想从 Azure 租户中检索“建议”

我们可以在 Azure 门户 -> 安全中心 -> 建议中看到这些建议。我们可以在“资源安全卫生”选项卡下看到建议刀片。

是否可以使用 Microsoft Graph 检索推荐？如果是这样，有人可以帮助我使用正确的 URI 来获取它们吗？

我想知道我们是否刚刚在 MS Graph API 中发现了一个错误。我正在尝试通过 MS Graph 访问其他用户的收件箱邮件规则。这是我所做的：

1.) 在 V1 Azure AD 端点上注册了一个应用程序，具有所有委派权限（包括 MailBoxSettings.Read 和 MailBoxSettings.ReadWrite） 2.) 使用全局管理员帐户授予对应用程序的访问权限 3.) 获得了 Graph Bearer Token租户和适当的权限： 4.）在 Exchange Online 设置中对我的全局管理员帐户的委派邮箱访问（完全访问）： 5.）验证我可以通过图表访问用户收件箱： 6.）尝试列出此用户的消息规则失败：

请注意，检索当前（全局管理员）用户的邮件规则没有问题：GET / https://graph.microsoft.com/v1.0/me/mailfolders/inbox/messageRules

这告诉我 MS Graph 中可能存在错误 - 或者我可能遗漏了什么？

提前致谢

本

我正在尝试从Microsoft Graph Security API检索安全事件和/或警报。最终目标是获得EOP事件。

当我提交请求时：

GET https://graph.microsoft.com/v1.0/security/alerts

我明白了：

我觉得值得注意的是，我在 Office 365 安全与合规中心的报告仪表板上看到了总共 11 次尝试和今天 1 次尝试的网络钓鱼活动警报（真是满嘴）。

我试图将其视为正确的 206，但未设置 Accept-Ranges，HEAD不允许，并且传递不会Range: bytes=0-10000改变任何内容。我还注意到{Vendor}/{Provider}/{StatusCode}/{LatencyInMs}Warning: 199 - "Microsoft/WDATP/401/16"之后的标题，但我不确定它为什么会发生。即使它正在发生，我也需要 EOP 日志，而不是 Windows Defender ATP 日志，所以我希望我可以忽略它。

附加信息：

• 我按照本文档设置了应用程序（除了我授予 SecurityEvents.Read.All 作为应用程序权限）。
• 我正在使用 Python 请求，并且只设置Authorization标题（除了我在处理Range标题时）。我也用 Fiddler 试过这个。
• 我的组织有 EOP（随 Exchange 提供），但没有 Office 365 ATP。让 ATP 工作会很好，但不是必需的。获取 EOP 日志/事件/警报/无论我的邮件目标是什么。

编辑：EOP 日志的解决方案 我终于找到了一个以编程方式获取 EOP 日志的端点。访问它的用户不能拥有 MFA，并且存在一些记录不充分的速率限制，但除此之外它看起来不错。有关详细信息，请参阅此页面。具体来说，我GET 这个页面查看我的权限，GET 这个页面查看消息（不要被浏览器的 RSS 提要视图所迷惑，那里有很多数据）。

我正在创建一个将使用 Microsoft Security Graph API 的 python 应用程序。我已按照此处提供的示例进行操作，没有任何问题。我现在希望能够创建一个 python 应用程序，它可以在不使用 Web 浏览器的情况下获取访问令牌（并在需要时刷新它）。

到目前为止，我已经在 和 下创建了一个具有和SecurityEvent.Read.All权限SecurityEvent.ReadWrite.All的新应用程序。然后，我在 Web 浏览器中访问以下 URL 以授予我的应用程序同意并使用我的租户管理员登录：Delegated PermissionsApplication Permissions

接下来，我假设我想按照此处的步骤进行 POST 调用以获取令牌。下面是我如何做到这一点的一个例子。

以下是我收到的回复

使用现在获得的访问令牌，我正在尝试调用/alerts端点。下面是如何做到的。

在我看来，响应是这样的，而不是返回警报：

我是否以某种方式拥有错误的权限？

我正在构建一个自定义移动应用程序，它有一个客户端、自定义后端服务器（我正在构建）并与许多其他 api 交互。这些 api 之一是 Microsoft 预订。

我面临的问题是我需要通过服务器到服务器进行身份验证，并使用共享的客户端密码。我知道来自 MS 的众多文档，但尚未找到解决方案。我想知道服务器到服务器是否甚至可以使用 Bookings。

我能够获得具有这些权限的 access_token 服务器到服务器。（我已经在 Azure AD 中授予此应用程序的“所有权限”）。

],

这些是来自解码令牌的权限。当我去调用 Bookings api 时，我收到 401。

但是，我可以使用此令牌访问不同的图形端点没有问题。

我会注意到，我可以使用我的帐户通过 Graph Explorer 成功调用 bookings api，这与“Azure AD 中的应用程序”无关。

Azure AD 中的此资源是否需要预订许可证？这甚至可能是 S2S 吗？

有没有其他方法可以在没有用户凭据的情况下绕过它？

谢谢。

当我尝试为安全/警报端点创建 Microsoft Graph Webhook 订阅时，订阅创建失败并显示如下所示的通用消息。将资源修改为“我/消息”会导致创建成功的 webhook 订阅，因此这似乎特定于安全/警报端点。我该如何过去？

请求的正文如下：