问题标签 [microsoft-graph-security]

由于某些奇怪的原因，过去两天我从 Graph Security API 获得的结果是不准确的，我终其一生都无法弄清楚原因。

如果我查询https://graph.microsoft.com/v1.0/security/alerts我会返回 7 个旧警报，没有任何明显的关系、押韵或填充我的结果的原因。这些不是最近的 7 个，我们收到了超过 7 个警报。

例如，当尝试附加 $filter=vendorInformation/provider eq 'Microsoft Defender ATP' 我收到：

对于我来说，这个问题似乎扩展到所有 MTP 服务。

我可以看到 MDATP 中的警报，以及 MCAS 和 ASC 等其他警报，例如，当直接导航到这些门户或查询其平台特定的 api 时，例如 https://api-us.securitycenter.windows.com/api/alerts。

我正在返回数据，它只是不正确的数据。

我正在使用带有 SecurityEvents.Read.All 和 SecurityEvents.ReadWrite.All“授予 MYDOMAIN”的 Postman 应用程序注册。

我觉得我在这里错过了一些东西。还有人有问题吗？非常乐意分享有用的其他细节。

我正在尝试通过 API 提取与警报 no Sentinel 相关的基本事件，但是 Graph Security API 并没有返回太多。我看不到映射实体或扩展属性。

我尝试使用 url 中的“扩展”选项来扩展属性，但没有运气。老实说，我真的没有在 Graph API 中看到很多我通常会在搜索中看到的信息。

另外，有没有办法让我从警报 ID 中找到搜索的基本事件？

https://graph.microsoft.com/v1.0/security/alerts/ {alert id}?$expand=extendedproperties

https://graph.microsoft.com/v1.0/security/alerts/ {alert id}?$expand=extended

https://graph.microsoft.com/v1.0/security/alerts/ {alert id}?$expand=properties

https://graph.microsoft.com/v1.0/security/alerts/ {alert id}?$expand=extensions

我开始使用 Microsoft Graph 威胁评估 API 来报告网络钓鱼网站 URL。
（参考：https ://docs.microsoft.com/en-us/graph/api/informationprotection-post-threatassessmentrequests?view=graph-rest-1.0&tabs=http ）

我的用例是通过 Slack 命令自动报告和手动报告。但是限制非常严格，所以我立即得到“429”响应。

有谁知道节流的解决方法？据我确认，节流是1 request per 15 minutes (Limit per resource)默认设置。
（150 requests per 15 minutes (Limit per tenant)虽然）

参考：https ://docs.microsoft.com/en-us/graph/throttling#information-protection

根据文档，我们可以使用以下端点来获取敏感度标签：

• /me/informationProtection/policy/labels（使用委派权限）

• /informationProtection/policy/labels（使用应用程序权限。应用程序应具有使用此端点的 InformationProtectionPolicy.Read.All 权限）

以下 C# 代码使用应用程序权限，它适用于租户 1：

但它在另一个租户 2 上不起作用 - 它总是返回 404“找不到资源”，并出现以下内部异常“用户未找到标签，策略为空”。以下是完整回复：

有趣的是，尝试在同一租户 2 上使用委派权限调用端点 /me/informationProtection/policy/labels 会产生相同的错误，但在租户 1 上它也可以工作。有没有人遇到过这个问题或知道它为什么会发生？需要提到的是，在之前的tenant2 上，我们为特定用户创建并发布了几个敏感度标签——该用户既没有 O365 许可证也没有 Azure 订阅。即，当您尝试登录 SPO/Azure 并创建站点/组时 - 该用户根本没有显示敏感度标签。我们尝试删除这些敏感度标签及其针对此用户的受众群体定位政策，但两个端点仍然返回错误。

PS。AAD 应用程序在租户 2 上正常 - 它具有 InformationProtectionPolicy.Read.All 权限和管理员同意：

2020-11-25 更新：两个租户的行为都发生了变化，我们这边没有任何改变：现在在两个租户上，我们都得到 502 Bad Gateway。MS 现在是否在全球范围内推出此功能？这是我们现在从 /beta/me/informationProtection/policy/labels 得到的响应：

2020-12-07 更新：它开始自行工作。即，当重现此问题时，MS 已在后端以某种方式为租户修复了该问题。

几个小时后，我收到了对许多 MS Graph 资源的 celery 调度请求，我不断收到以下响应：

• 这是真正的请求 ID
• 我每 5 分钟安排一次请求，并避免同一资源的重叠请求。
• 我从来没有 429，所以我猜这不是一个节流问题。

询问您需要的任何额外信息。

提前泰。

我需要的：

通过 Microsoft Graph 安全 API 访问电子邮件相关事件的 Internet 消息 ID

我的问题：

我使用 Outlook 的报告模块并将收件箱中的一封电子邮件标记为网络钓鱼。这随后在https://security.microsoft.com中创建了一个事件。见下图。事件 ID 16。

我组装了一个能够通过 Microsoft Graph 安全 API 提取警报的 webhook。通过这次通话，我设法检索了警报的 ID。然后，我使用该 ID 通过此调用获取有关警报的更多信息：( https://graph.microsoft.com/v1.0/security/alerts/{alert_id} )

在响应的 JSON 正文中有一个名为的属性messageSecurityStates ，它始终为空。我找到了这个指向Javadoc.io的链接，其中描述了对象的属性，看起来这个属性应该包含 Internet 消息 ID。但是在查询 Microsoft Graph 安全 API 时，该对象始终为空。

问题：

我需要做些什么来确保通过 MS Graph 安全 API 查询的电子邮件相关警报具有电子邮件相关信息，例如 Internet 消息 ID？

我想检查是否有人知道以下任何集成的示例事件或内置的本机示例事件生成器？

• Azure 安全中心
• Azure Active Directory 身份保护*
• 微软云应用安全
• Microsoft Defender 高级威胁防护*
• Azure 高级威胁防护*
• 办公室 365*
• Azure 信息保护

我在自己的测试租户中收集了一些示例事件，但需要更多来全面测试我的应用程序。

我查看了各种潜在的来源，除了模式之外，我似乎找不到全面的示例事件数据，或者上面的集成方法来生成带有虚拟数据的任何或随机事件。