Arbeiten mit ermittelten Apps über Graph-API (Vorschau)
Microsoft Defender for Cloud Apps unterstützt eine Microsoft-Graph-API, die Sie für die Arbeit mit ermittelten Cloud-Apps verwenden können, um die Funktionen der Seite "Ermittelte Apps" im Microsoft Defender-Portal anzupassen und zu automatisieren.
Dieser Artikel enthält Beispielverfahren für die Verwendung der uploadedStreams-API für allgemeine Zwecke.
Voraussetzungen
Bevor Sie mit der Verwendung des Graph-API beginnen, müssen Sie eine App erstellen und ein Zugriffstoken für die Verwendung der Anwendung abrufen. Verwenden Sie dann das Token, um auf die Defender for Cloud Apps-API zuzugreifen.
Stellen Sie sicher, dass Sie der App Berechtigungen für den Zugriff auf Defender for Cloud Apps erteilen, indem Sie sie mit
CloudApp-Discovery.Read.AllBerechtigungen und Administratoreinwilligung erteilen.Notieren Sie sich Ihr App-Geheimnis, und kopieren Sie dessen Wert, um es später in Ihren Skripts zu verwenden.
Sie benötigen auch Cloud-App-Datenstreaming in Microsoft Defender for Cloud Apps.
Weitere Informationen finden Sie unter:
- Verwalten des Administratorzugriffs
- Graph-API Authentifizierungs- und Autorisierungsgrundlagen
- Verwenden der Microsoft Graph-API
- Einrichten von Cloud Discovery
Abrufen von Daten zu ermittelten Apps
Führen Sie den folgenden GET-Befehl aus, um eine allgemeine Zusammenfassung aller auf der Seite "Ermittelte Apps" verfügbaren Daten zu erhalten:
GET https://graph.microsoft.com/beta/dataDiscovery/cloudAppDiscovery/uploadedStreams
So führen Sie einen Drilldown zu Daten für einen bestimmten Stream aus:
Kopieren Sie den relevanten
<streamID>Wert aus der Ausgabe des vorherigen Befehls.Führen Sie den folgenden GET-Befehl mit dem Wert aus
<streamID>:GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<streamId>/aggregatedAppsDetails(period=duration'P90D')
Filtern nach einem bestimmten Zeitraum und einer Risikobewertung
Filtern Sie Ihre API-Befehle mithilfe von $select und $filter , um Daten für einen bestimmten Zeitraum und eine bestimmte Risikobewertung abzurufen. Um beispielsweise die Namen aller Apps anzuzeigen, die in den letzten 30 Tagen mit einer Risikobewertung niedriger oder gleich 4 ermittelt wurden, führen Sie Folgendes aus:
GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<streamId>/aggregatedAppsDetails (period=duration'P30D')?$filter=riskRating le 4 &$select=displayName
Abrufen des userIdentifier aller Benutzer, Geräte oder IP-Adressen mithilfe einer bestimmten App
Identifizieren Sie die Benutzer, Geräte oder IP-Adressen, die derzeit eine bestimmte App verwenden, führen Sie einen der folgenden Befehle aus:
So geben Sie Benutzer zurück:
GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<streamId>/aggregatedAppsDetails (period=duration'P30D')/ <id>/usersSo geben Sie IP-Adressen zurück:
GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<streamId>/aggregatedAppsDetails (period=duration'P30D')/ <id>/ipAddressSo geben Sie Geräte zurück:
GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<streamId>/aggregatedAppsDetails (period=duration'P30D')/ <id>/name
Verwenden von Filtern zum Anzeigen von Apps nach Kategorie
Verwenden Sie Filter, um Apps einer bestimmten Kategorie anzuzeigen, z. B. Apps, die als Marketing kategorisiert sind und auch nicht HIPPA-konform sind. Führen Sie beispielsweise den folgenden Befehl aus:
GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<MDEstreamId>/aggregatedAppsDetails (period=duration 'P30D')?$filter= (appInfo/Hippa eq 'false') and category eq 'Marketing'
Verwandte Inhalte
Weitere Informationen finden Sie unter Arbeiten mit ermittelten Apps und in der Referenz zu Microsoft Graph-API.