Access Microsoft Defender for Cloud Apps-ohjelmointirajapinta käyttäjäkontekstin avulla
Tällä sivulla kuvataan, miten luodaan sovellus, joka saa Defender for Cloud Apps ohjelmallisen käyttöoikeuden käyttäjän puolesta.
Jos tarvitset ohjelmallisen käyttöoikeuden Microsoft Defender for Cloud Apps ilman käyttäjää, katso Access Microsoft Defender for Cloud Apps sovelluskontekstin kanssa.
Jos et ole varma, mitä käyttöoikeutta tarvitset, lue Johdanto-sivu.
Microsoft Defender for Cloud Apps paljastaa suuren osan tiedoistaan ja toiminnoistaan ohjelmallisten ohjelmointirajapintojen avulla. Näiden ohjelmointirajapintojen avulla voit automatisoida työnkulkuja ja innovoida Microsoft Defender for Cloud Apps ominaisuuksien perusteella. Ohjelmointirajapinnan käyttö edellyttää OAuth2.0-todennusta. Lisätietoja on artikkelissa OAuth 2.0 -valtuutuskoodin kulku.
Yleensä ohjelmointirajapintoja on käytettävä seuraavien ohjeiden avulla:
- Microsoft Entra sovelluksen luominen
- Hanki käyttöoikeustietue tämän sovelluksen avulla
- Defender for Cloud Apps-ohjelmointirajapinnan käyttäminen tunnuksen avulla
Tällä sivulla kerrotaan, miten voit luoda Microsoft Entra sovelluksen, hankkia käyttöoikeustietueen Microsoft Defender for Cloud Apps ja vahvistaa tunnuksen.
Huomautus
Kun käytät Microsoft Defender for Cloud Apps-ohjelmointirajapintaa käyttäjän puolesta, tarvitset oikean sovelluskäyttöoikeuden ja käyttäjän käyttöoikeuden. Jos et tunne Microsoft Defender for Cloud Apps käyttöoikeuksia, katso Järjestelmänvalvojan käyttöoikeuksien hallinta.
Vihje
Jos sinulla on oikeus suorittaa toiminto portaalissa, sinulla on oikeus suorittaa toiminto ohjelmointirajapinnassa.
Luo sovellus
Rekisteröi uusi sovellus Microsoft Entra -hallintakeskus. Lisätietoja on kohdassa Pikaopas: Sovelluksen rekisteröiminen Microsoft Entra -hallintakeskus.
Kun Rekisteröi sovellus -sivu tulee näkyviin, anna sovelluksesi rekisteröintitiedot:
Nimi – Anna sovelluksen käyttäjille näytettävä merkityksellinen sovelluksen nimi.
Tuetut tilityypit – Valitse tilit, joita haluat sovelluksesi tukevan.
Tuetut tilityypit Kuvaus Vain tämän organisaatiohakemiston tilit Valitse tämä vaihtoehto, jos olet luomassa toimialasovellusta (LOB). Tämä vaihtoehto ei ole käytettävissä, jos et rekisteröi sovellusta hakemistoon.
Tämä vaihtoehto yhdistää Microsoft Entra vain yhden vuokraajan.
Tämä on oletusasetus, ellet rekisteröi sovellusta hakemiston ulkopuolella. Jos sovellus on rekisteröity hakemiston ulkopuolella, oletusarvona on Microsoft Entra moni- ja henkilökohtaiset Microsoft-tilit.Minkä tahansa organisaation hakemiston tilit Valitse tämä vaihtoehto, jos haluat kohdistaa kohteen kaikille yritys- ja koulutusasiakkaille.
Tämä vaihtoehto yhdistetään vain Microsoft Entra monitoimiaineeksi.
Jos olet rekisteröinyt sovelluksen vain Microsoft Entra yksittäisenä vuokraajana, voit päivittää sen monitasoiseksi Microsoft Entra ja takaisin yksittäiseksi vuokraajaksi Todennus-ruudun kautta.Kaikkien organisaation hakemistojen ja henkilökohtaisten Microsoft-tilien tilit Valitse tämä vaihtoehto, jos haluat kohdentaa laajinta asiakasjoukkoa.
Tämä vaihtoehto yhdistää Microsoft Entra useita Microsoft-tilejä ja henkilökohtaisia Microsoft-tilejä.
Jos olet rekisteröinyt sovelluksen usean ja henkilökohtaisen Microsoft-tilin Microsoft Entra, et voi muuttaa sitä käyttöliittymässä. Sinun on sen sijaan käytettävä sovelluksen luetteloeditoria tuettujen tilityyppien muuttamiseen.Uudelleenohjauksen URI (valinnainen) – Valitse luotavan sovelluksen tyyppi, **Verkko tai Julkinen asiakas (mobiili & työpöytä) ja kirjoita sitten sovelluksesi uudelleenohjauksen URI (tai vastauksen URL-osoite).
- Anna verkkosovelluksissa sovelluksesi perus-URL-osoite. Se voi olla esimerkiksi
http://localhost:31544paikallisessa tietokoneessa toimivan verkkosovelluksen URL-osoite. Käyttäjät käyttäisivät tätä URL-osoitetta verkkoasiakassovellukseen kirjautumista varten. - Anna julkisissa asiakassovelluksissa Microsoft Entra ID käyttämä URI-tunnusvastausten palauttamiseen. Anna sovellukseen liittyvä arvo, kuten
myapp://auth.
Jos haluat nähdä esimerkkejä verkkosovelluksista tai alkuperäisistä sovelluksista, tutustu pikaoppaisiin.
Kun olet valmis, valitse Rekisteröi.
- Anna verkkosovelluksissa sovelluksesi perus-URL-osoite. Se voi olla esimerkiksi
Anna sovelluksesi käyttää Microsoft Defender for Cloud Apps ja määritä sille Lue ilmoituksia -käyttöoikeus:
Valitse sovellussivulla ohjelmointirajapinnan käyttöoikeudetLisää käyttöoikeuksien>ohjelmointirajapinnat>, joita organisaationi käyttää > -tyyppinen Microsoft Cloud App Security, ja valitse sitten Microsoft Cloud App Security.
Huomautus: Microsoft Cloud App Security ei näy alkuperäisessä luettelossa. Aloita sen nimen kirjoittaminen tekstiruutuun, jotta näet sen näkyvän. Muista kirjoittaa tämä nimi, vaikka tuotetta kutsutaan nyt Defender for Cloud Apps.
Valitse Delegoidut> käyttöoikeudetTutkimus.Lue ja> valitse Lisää käyttöoikeuksia
Tärkeä huomautus: Valitse tarvittavat käyttöoikeudet. Investigation.Read on vain esimerkki. Katso muut käyttöoikeusalueet kohdasta Tuetut käyttöoikeusalueet
- Voit selvittää, minkä käyttöoikeuden tarvitset, tarkastele käyttöoikeusosiota ohjelmointirajapinnassa, johon haluat soittaa.
Valitse Myönnä järjestelmänvalvojan suostumus
Huomautus: aina, kun lisäät käyttöoikeuden, sinun on valittava Myönnä järjestelmänvalvojan suostumus , jotta uusi käyttöoikeus tulee voimaan.
Kirjoita ylös sovellustunnus ja vuokraajatunnus:
Siirry sovellussivulla kohtaan Yleiskatsaus ja kopioi seuraavat tiedot:
Tuetut käyttöoikeusalueet
| Käyttöoikeuden nimi | Kuvaus | Tuetut toiminnot |
|---|---|---|
| Tutkimus.lue | Suorita kaikki tuetut toiminnot toiminnoille ja hälytyksille lukuun ottamatta ilmoitusten sulkemista. Näytä IP-alueet, mutta älä lisää, päivitä tai poista. Suorita kaikki entiteettitoiminnot. |
Aktiviteettiluettelo, nouto, palaute Ilmoitusluettelo, nouto, merkitse luetuksi/lukemattomaksi Entiteettiluettelo, nouto- ja noutopuu Aliverkkoluettelo |
| Investigation.manage | Suorita kaikki investigation.read-toiminnot ilmoitusten ja IP-alueiden hallinnan lisäksi. | Aktiviteettiluettelo, nouto, palaute Ilmoitusluettelo, nouto, merkitse luetuksi/lukemattomaksi, sulje Entiteettiluettelo, nouto- ja noutopuu Aliverkon luettelo, luominen, päivittäminen tai poistaminen |
| Discovery.read | Suorita kaikki tuetut toiminnot toiminnoille ja hälytyksille lukuun ottamatta ilmoitusten sulkemista. Luettele etsintäraportit ja luokat. |
Ilmoitusluettelo, nouto, merkitse luetuksi/lukemattomaksi Etsintäluettelon raportit, luetteloraportin luokat |
| Discovery.manage | Discovery.read-oikeudet Sulje hälytykset, lataa etsintätiedostot ja luo lohkokomentosarjat |
Ilmoitusluettelo, nouto, merkitse luetuksi/lukemattomaksi, sulje Etsintäluettelon raportit, luetteloraportin luokat Resurssienetsintätiedoston lataaminen palvelimeen, lohkokomentosarjan luominen |
| Settings.read | Ip-luetteloalueet. | Aliverkkoluettelo |
| Settings.manage | Luetteloi ja hallitse IP-alueita. | Aliverkon luettelo, luominen, päivittäminen tai poistaminen |
Käyttöoikeustietueen hankkiminen
Lisätietoja Microsoft Entra tunnuksista on Microsoft Entra opetusohjelmassa
C:n käyttö#
- Kopioi tai liitä sovellukseen seuraava luokka.
- Käytä AcquireUserTokenAsync-menetelmää sovellustunnuksen, vuokraajan tunnuksen ja todennuksen kanssa.
Huomautus
Seuraavassa koodiesimerkissä esitellään, miten voit hankkia tunnuksen käyttäjänimen ja salasanan työnkulun avulla, mutta Microsoft suosittelee, että käytät turvallisempia todennustyönkulkuja tuotantoympäristössä.
namespace MDA
{
using System.Net.Http;
using System.Text;
using System.Threading.Tasks;
using Newtonsoft.Json.Linq;
public static class MDAUtils
{
private const string Authority = "https://login.microsoftonline.com";
private const string MDAId = "05a65629-4c1b-48c1-a78b-804c4abdd4af";
private const string Scope = "Investigation.read";
public static async Task<string> AcquireUserTokenAsync(string username, string password, string appId, string tenantId)
{
using (var httpClient = new HttpClient())
{
var urlEncodedBody = $"scope={MDAId}/{Scope}&client_id={appId}&grant_type=password&username={username}&password={password}";
var stringContent = new StringContent(urlEncodedBody, Encoding.UTF8, "application/x-www-form-urlencoded");
using (var response = await httpClient.PostAsync($"{Authority}/{tenantId}/oauth2/token", stringContent).ConfigureAwait(false))
{
response.EnsureSuccessStatusCode();
var json = await response.Content.ReadAsStringAsync().ConfigureAwait(false);
var jObject = JObject.Parse(json);
return jObject["access_token"].Value<string>();
}
}
}
}
}
Tunnuksen vahvistaminen
Varmista, että sinulla on oikea tunnus:
Kopioi tai liitä JWT :hen edellisessä vaiheessa saamasi tunnus, jotta voit purkaa sen koodaamisen
Varmista, että saat scp-väitteen, jolla on halutut sovelluksen käyttöoikeudet
Alla olevassa näyttökuvassa näet sovelluksesta hankitun koodatun tunnuksen opetusohjelmassa:
Microsoft Defender for Cloud Apps-ohjelmointirajapinnan käyttäminen tunnuksen avulla
Valitse ohjelmointirajapinta, jota haluat käyttää. Lisätietoja on Defender for Cloud Apps-ohjelmointirajapinnassa.
Määritä Valtuutustietojen otsikko HTTP-pyynnössä, jonka lähetät käyttäjälle "Haltija {token}" (Haltija on valtuutusmalli)
Tunnuksen vanhentumisaika on yksi tunti (voit lähettää useamman kuin yhden pyynnön samalla tunnuella)
Esimerkki pyyntöjen lähettämisestä, jotta saat luettelon ilmoituksista C#:n avulla
var httpClient = new HttpClient(); var request = new HttpRequestMessage(HttpMethod.Get, "https://portal.cloudappsecurity.com/cas/api/v1/alerts/"); request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token); var response = httpClient.SendAsync(request).GetAwaiter().GetResult(); // Do something useful with the response