Del via

Opret en app for at få adgang til Microsoft Defender XDR API'er på vegne af en bruger

  • Artikel

Gælder for:

  • Microsoft Defender XDR

Vigtigt!

Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.

På denne side beskrives det, hvordan du opretter et program for at få programmatisk adgang til Microsoft Defender XDR på vegne af en enkelt bruger.

Hvis du har brug for programadgang til Microsoft Defender XDR uden en defineret bruger (f.eks. hvis du skriver en baggrundsapp eller -daemon), skal du se Opret en app for at få adgang til Microsoft Defender XDR uden en bruger. Hvis du har brug for at give adgang til flere lejere – f.eks. hvis du betjener en stor organisation eller en gruppe kunder – skal du se Opret en app med partneradgang til Microsoft Defender XDR API'er. Hvis du ikke er sikker på, hvilken type adgang du har brug for, skal du se Kom i gang.

Microsoft Defender XDR fremviser mange af sine data og handlinger via et sæt programmatiske API'er. Disse API'er hjælper dig med at automatisere arbejdsprocesser og gøre brug af Microsoft Defender XDR funktioner. Denne API-adgang kræver OAuth2.0-godkendelse. Du kan få flere oplysninger under OAuth 2.0 Authorization Code Flow.

Generelt skal du gøre følgende for at bruge disse API'er:

  • Opret et Microsoft Entra program.
  • Hent et adgangstoken ved hjælp af dette program.
  • Brug tokenet til at få adgang til Microsoft Defender XDR API.

I denne artikel forklares det, hvordan du:

  • Opret et Microsoft Entra program
  • Hent et adgangstoken til Microsoft Defender XDR
  • Valider tokenet

Bemærk!

Når du får adgang til Microsoft Defender XDR API på vegne af en bruger, skal du have de korrekte programtilladelser og brugertilladelser.

Tip

Hvis du har tilladelse til at udføre en handling på portalen, har du tilladelse til at udføre handlingen i API'en. Du kan få flere oplysninger om roller og tilladelser under Administrer adgang til Microsoft Defender XDR med Microsoft Entra globale roller.

Opret en app

  1. Log på Azure.

  2. Gå til Microsoft Entra ID>Appregistreringer>Ny registrering.

    Indstillingen Ny registrering i ruden Administrer i Azure Portal

  3. I formularen skal du vælge et navn til dit program og angive følgende oplysninger for omdirigerings-URI'en og derefter vælge Registrer.

    Ruden programregistrering i Azure Portal

  4. På din programside skal du vælge API-tilladelser>TilføjtilladelseS-API'er>, som min organisation bruger>, skriv Microsoft Threat Protection, og vælg Microsoft Threat Protection. Din app kan nu få adgang til Microsoft Defender XDR.

    Tip

    Microsoft Threat Protection er et tidligere navn på Microsoft Defender XDR og vises ikke på den oprindelige liste. Du skal begynde at skrive navnet i tekstfeltet for at se det blive vist.

    Ruden API'er for din organisation på Microsoft Defender-portalen

    • Vælg Delegerede tilladelser. Vælg de relevante tilladelser til dit scenarie ( f.eks. Incident.Read), og vælg derefter Tilføj tilladelser.

      Ruden Delegerede tilladelser på Microsoft Defender portalen

    Bemærk!

    Du skal vælge de relevante tilladelser til dit scenarie. Læs alle hændelser er blot et eksempel. Hvis du vil finde ud af, hvilken tilladelse du har brug for, skal du se afsnittet Tilladelser i den API, du vil kalde.

    Hvis du f.eks. vil køre avancerede forespørgsler, skal du vælge tilladelsen 'Kør avancerede forespørgsler'. Hvis du vil isolere en enhed, skal du vælge tilladelsen "Isoler computer".

  5. Vælg Giv administratorsamtykke. Hver gang du tilføjer en tilladelse, skal du vælge Giv administratorsamtykke , for at den kan træde i kraft.

    Ruden til tildeling af administratorsamtykke på portalen Microsoft Defender

  6. Registrer dit program-id og dit lejer-id et sikkert sted. De vises under Oversigt på din programside.

    Ruden Oversigt på Microsoft Defender-portalen

Hent et adgangstoken

Du kan få flere oplysninger om Microsoft Entra-tokens i selvstudiet om Microsoft Entra.

Få et adgangstoken på vegne af en bruger ved hjælp af PowerShell

Brug biblioteket MSAL.PS til at hente adgangstokens med delegerede tilladelser. Kør følgende kommandoer for at få adgangstoken på vegne af en bruger:

Install-Module -Name MSAL.PS # Install the MSAL.PS module from PowerShell Gallery

$TenantId = " " # Paste your directory (tenant) ID here.
$AppClientId="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" # Paste your application (client) ID here.

$MsalParams = @{
   ClientId = $AppClientId
   TenantId = $TenantId
   Scopes   = 'https://graph.microsoft.com/User.Read.All','https://graph.microsoft.com/Files.ReadWrite','https://api.securitycenter.windows.com/AdvancedQuery.Read'
}

$MsalResponse = Get-MsalToken @MsalParams
$AccessToken  = $MsalResponse.AccessToken
 
$AccessToken # Display the token in PS console

Valider tokenet

  1. Kopiér og indsæt tokenet i JWT for at afkode det.
  2. Sørg for, at rollekravet i det afkodede token indeholder de ønskede tilladelser.

På følgende billede kan du se et afkodet token, der er hentet fra en app, med Incidents.Read.Alltilladelserne , Incidents.ReadWrite.Allog AdvancedHunting.Read.All :

Afsnittet om tilladelser i ruden Afkodet token på portalen Microsoft Defender

Brug tokenet til at få adgang til API'en til Microsoft Defender XDR

  1. Vælg den API, du vil bruge (hændelser eller avanceret jagt). Du kan få flere oplysninger under Understøttede Microsoft Defender XDR API'er.
  2. I den http-anmodning, du er ved at sende, skal du angive godkendelsesheaderen til "Bearer" <token>, Ihændehaver er godkendelsesskemaet, og tokenet er dit validerede token.
  3. Tokenet udløber inden for en time. Du kan sende mere end én anmodning i denne periode med det samme token.

I følgende eksempel kan du se, hvordan du sender en anmodning for at få en liste over hændelser ved hjælp af C#.

    var httpClient = new HttpClient();
    var request = new HttpRequestMessage(HttpMethod.Get, "https://api.security.microsoft.com/api/incidents");

    request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);

    var response = httpClient.SendAsync(request).GetAwaiter().GetResult();

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.