[Einführung]
Um Sicherheits- und Compliance-Teams die Korrelation von Microsoft Purview Data Loss Prevention (DLP)-Aktivitäten mit Microsoft Defender-Warnungen zu erleichtern, erweitern wir die Microsoft Graph Security APIs, sodass DLP-Ereignisdaten (Regelübereinstimmungen) zusammen mit Defender-Warnungsdaten abgerufen werden können. Dies vereinfacht den Export von Daten in SIEM-Tools, das Erstellen automatisierter Workflows und das Generieren benutzerdefinierter Berichte, ohne Daten aus mehreren APIs zusammenführen zu müssen.
Diese Mitteilung steht im Zusammenhang mit der Microsoft 365-Roadmap-ID 558681.
[Zeitplan]
- Public Preview: Rollout beginnt Ende Mai 2026 und wird voraussichtlich Anfang Juni 2026 abgeschlossen sein.
- Allgemeine Verfügbarkeit (weltweit): Rollout beginnt Ende Juni 2026 und wird voraussichtlich Anfang Juli 2026 abgeschlossen sein.
[Auswirkungen auf Ihre Organisation]
Betroffene Personen:
- Administratoren, Sicherheitstechniker und Entwickler, die Microsoft Graph Security APIs verwenden, um Defender-Warnungen und/oder Purview DLP-Ereignisdaten für Berichte, Untersuchungen, SIEM-Integration oder Automatisierung abzurufen.
- Dies gilt ausschließlich für DLP-bezogene Defender-Warnungen (die DLP-Ereignisabfrage liefert keine Ergebnisse für Nicht-DLP-Warnungen).
Was passiert:
Vor diesem Update:
Warnungsdaten sind über die Microsoft Graph Security APIs verfügbar, während DLP-Regelübereinstimmungs-Ereignisdaten über die Management-API abrufbar sind. Kunden, die Warnungen mit zugrunde liegenden DLP-Aktivitäten korrelieren müssen, mussten Daten aus mehreren APIs abrufen und die Ergebnisse manuell zusammenführen.
Mit diesem Update:
- Microsoft Graph wird DLP-Ereignisdaten enthalten, die mit Defender-Warnungen verknüpft sind.
- Dies ermöglicht eine vereinfachte Korrelation und Integration, ohne auf mehrere APIs angewiesen zu sein.
- Es gibt keine Auswirkungen auf die Nutzererfahrung.
Die folgende Tabelle zeigt die durch diese Erweiterung verfügbaren kombinierten Daten:
Gemeinsame Warnungsdaten (bereits in Graph API vorhanden) / Gemeinsame Ereignisdaten (in allen Ereignissen vorhanden)
Alert ID / Event ID, Incident ID / User ID, Status / Workload, Severity / Event time, Classification / Operation, Assigned to / Policy details (ID, Name, Regel, Aktion), Creation time / Sensitive info types (ID, Anzahl, Vertrauen, Werte), Last update time / Trainable classifier, Resolve date time / User override, First activity time / Last activity time
Erlebnis für Administratoren (Überblick):
Schritt 1: Rufen Sie Defender-Warnungen über die alerts_v2 Graph API ab. Weitere Informationen: List alerts_v2 | Microsoft Learn.
Endpunkt: https://graph.microsoft.com/beta/security/alerts_v2/{alert-id}
Aus der Antwort erfassen:
alertCorrelationId(DetectorId)startDateTime(firstActivityDateTime)endDateTime(lastActivityDateTime)
Hinweis: Die Warnung muss eine DLP-Warnung sein.
Screenshot: Beispielantwort der alerts_v2 Graph API mit einer Defender-DLP-Warnung und Korrelationsdetails:
Schritt 2: Abfrage der DLP-Ereignisdaten anhand der Korrelationsdaten.
Endpunkt: https://graph.microsoft.com/beta/security/dlpAlertEvent
Beispiel-Filter: $filter=alertCorrelationId eq \'{alertCorrelationId}\' and startDateTime ge {startDateTime} and endDateTime le {endDateTime}
Die Antwort liefert Ereignisse, bei denen das auditRecord das Ereignis-JSON enthält.
[Vorbereitungsmöglichkeiten]
Keine Maßnahmen erforderlich, wenn Sie keine Graph APIs für den Export von Warnungen/Ereignissen oder Automatisierung verwenden.
Falls Sie diese APIs nutzen, empfehlen wir:
- Aktualisieren Sie SIEM-Konnektoren, Skripte und Playbooks, die derzeit Daten aus Graph- und Management-APIs zusammenführen, damit sie die erweiterte Graph-Funktion für die Korrelation nutzen können.
- Validieren Sie während der Public Preview (Ende Mai bis Anfang Juni 2026) mit einer DLP-Warnung in einer Testumgebung Ihre Analyse des auditRecord-JSON und Ihre Logik für Zeitfenster.
Voraussetzungen
Basiszugriff: Benutzer müssen die Rolle Security Reader besitzen, um Warnungen und Ereignisse über die API abrufen zu können.
- SecurityEvents.Read.All
- SecurityAlerts.Read.All
- CustomTags.Read.All
Hinweis:
- Hat ein Benutzer die Security Reader-Rolle und ruft die API auf, erhält er Ausgaben ohne sensible Informationen.
- Hat der Benutzer zusätzlich die Data Classification Content Viewer-Rolle (Purview RBAC), enthält die Ausgabe auch sensible Informationen.
[Compliance-Aspekte]
Bereich / Erläuterung
Ändert den Zugriff auf vorhandene Kundendaten: Einführung einer neuen Microsoft Graph API-Methode, um DLP-Ereignisdaten (Regelübereinstimmungen) neben Defender-Warnungen abzurufen; vereinfacht den Zugriff und die Korrelation vorhandener Daten.
Ändert die Überwachungs- und Berichtsfähigkeiten von Administratoren: Ermöglicht vereinfachten Export und Korrelation von DLP-Warn- und Ereignisdaten und verbessert SIEM-Integration sowie Compliance-Berichtsworkflows.
Unterstützt Integrationen von Drittanbietern: Die erweiterte API ist für die Integration mit SIEM- und anderen externen Tools konzipiert und ermöglicht automatisierte Workflows sowie den Datenexport an externe Systeme.
Administratorenkontrolle und Zugriffsverwaltung: Der Zugriff wird über Graph-Berechtigungen und Purview RBAC-Rollen gesteuert; eine spezielle neue Administratorumschaltung wird nicht eingeführt.
