Jaa

Microsoft Defender for Endpoint-ohjelmointirajapinta – Hei maailma

  • Artikkeli

Koskee seuraavia:

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Huomautus

Jos olet Yhdysvaltain valtionhallinnon asiakas, käytä Microsoft Defender for Endpoint lueteltuja URI-tunnuksia Yhdysvaltain valtionhallinnon asiakkaille.

Vihje

Suorituskyvyn parantamiseksi voit käyttää palvelinta lähempänä maantieteellistä sijaintiasi:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Hanki ilmoituksia yksinkertaisella PowerShell-komentosarjalla

Kuinka kauan esimerkin läpivienti kestää?

Se kestää vain 5 minuuttia kahdessa vaiheessa:

  • Sovelluksen rekisteröinti
  • Käytä esimerkkejä: vaatii vain lyhyen PowerShell-komentosarjan kopioinnin tai liittämisen

Tarvitsenko yhteyden muodostamiseen käyttöoikeuden?

Sovelluksen rekisteröintivaihetta varten sinulla on oltava asianmukainen rooli määritettynä Microsoft Entra vuokraajassasi. Lisätietoja rooleista on kohdassa Käyttöoikeusasetukset.

Vaihe 1 – Luo sovellus Microsoft Entra ID

  1. Kirjaudu Azure-portaaliin.

  2. Siirry kohtaan Microsoft Entra ID>Sovelluksen rekisteröinnit>Uusi rekisteröinti.

    Sovelluksen rekisteröinnit -vaihtoehto Microsoft Entra -hallintakeskus Hallinta-ruudussa

  3. Valitse rekisteröintilomakkeessa sovellukselle nimi ja valitse sitten Rekisteröi.

  4. Anna sovelluksesi käyttää Defender for Endpointia ja määritä sille Kaikkien ilmoitusten luku - oikeus:

    • Valitse sovellussivulla Ohjelmointirajapinnan käyttöoikeudetLisääkäyttöoikeus-ohjelmointirajapinnat>>, joita organisaationi käyttää > tyyppiä WindowsDefenderATP, ja valitse WindowsDefenderATP.

      Huomautus

      WindowsDefenderATP ei näy alkuperäisessä luettelossa. Sinun on alettava kirjoittaa sen nimeä tekstiruutuun, jotta näet sen näkyvän.

      Ohjelmointirajapinnan käyttöoikeudet -vaihtoehto Microsoft Entra -hallintakeskus Hallinta-ruudussa

    • Valitse Sovelluksen käyttöoikeudet>Alert.Read.All ja valitse sitten Lisää käyttöoikeuksia.

      Käyttöoikeustyyppi- ja asetusruudut Pyynnön ohjelmointirajapinnan käyttöoikeudet -sivulla

      Tärkeää

      Sinun on valittava tarvittavat käyttöoikeudet. Lue kaikki ilmoitukset on vain esimerkki.

      Esimerkki:

      • Jos haluat suorittaa kehittyneitä kyselyitä, valitse Suorita kehittyneet kyselyt -käyttöoikeus.
      • Jos haluat eristää koneen, valitse Eristä kone -käyttöoikeus.
      • Voit selvittää, minkä käyttöoikeuden tarvitset, katso sen ohjelmointirajapinnan Käyttöoikeudet-osiota , johon haluat soittaa.

  5. Valitse Myönnä suostumus.

    Huomautus

    Aina, kun lisäät käyttöoikeuden, sinun on napsautettava Myönnä suostumus , jotta uusi käyttöoikeus tulee voimaan.

    Myönnä lupa -vaihtoehto Microsoft Entra -hallintakeskus

  6. Lisää sovellukselle salaisuus.

    Valitse Varmenteet & salaisuuksia, lisää kuvauksen salauskoodiin ja valitse Lisää.

    Tärkeää

    Kun olet valinnut Lisää, kopioi luotu salaisen koodin arvo. Et voi noutaa sen jälkeen, kun olet poistunut.

    Varmenteet & salasanat -valikkokohde Microsoft Entra -hallintakeskus Hallinta-ruudussa

  7. Kirjoita ylös sovellustunnus ja vuokraajatunnus.

    Siirry sovellussivulla kohtaan Yleiskatsaus ja kopioi seuraavat:

    Sovelluksen tiedot -ruutu Microsoft Entra -hallintakeskus Yleiskatsaus-valikon kohdassa

Valmis! Olet rekisteröinyt sovelluksen!

Vaihe 2 – Hanki tunnus sovelluksen avulla ja käytä tätä tunnusta ohjelmointirajapinnan käyttämiseen.

  • Kopioi seuraava komentosarja PowerShell ISE:hen tai tekstieditoriin ja tallenna se nimellä Get-Token.ps1.

  • Tämän komentosarjan suorittaminen luo tunnuksen ja tallentaa sen työkansioon nimellä Latest-token.txt.

    # That code gets the App Context Token and save it to a file named "Latest-token.txt" under the current directory
# Paste below your Tenant ID, App ID and App Secret (App key).

$tenantId = '' ### Paste your tenant ID here
$appId = '' ### Paste your Application ID here
$appSecret = '' ### Paste your Application secret here

$resourceAppIdUri = 'https://api.securitycenter.microsoft.com'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/token"
$authBody = [Ordered] @{
     resource = "$resourceAppIdUri"
     client_id = "$appId"
     client_secret = "$appSecret"
     grant_type = 'client_credentials'
}
$authResponse = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $authBody -ErrorAction Stop
$token = $authResponse.access_token
Out-File -FilePath "./Latest-token.txt" -InputObject $token
return $token

  • Terveyden tarkistus:

    • Suorita komentosarja.
    • Siirry selaimessa osoitteeseen: https://jwt.ms/.
    • Kopioi tunnus (Latest-token.txt-tiedoston sisältö).
    • Liitä yläruutuun.
    • Etsi roolit-osa. Etsi Alert.Read.All-rooli .

    jwt.ms Dekoodatun tunnuksen ruutu

Haetaan hälytykset!

  • Seuraava komentosarja käyttää Get-Token.ps1 ohjelmointirajapintaa ja saa ilmoituksia viimeisten 48 tunnin ajalta.

  • Tallenna tämä komentosarja samaan kansioon, jonka tallensit edellisessä komentosarjassa Get-Token.ps1.

  • Komentosarja luo kaksi tiedostoa (json ja csv), joiden tiedot ovat samassa kansiossa komentosarjojen kanssa.

    # Returns Alerts created in the past 48 hours.

$token = ./Get-Token.ps1       #run the script Get-Token.ps1  - make sure you are running this script from the same folder of Get-Token.ps1

# Get Alert from the last 48 hours. Make sure you have alerts in that time frame.
$dateTime = (Get-Date).ToUniversalTime().AddHours(-48).ToString("o")

# The URL contains the type of query and the time filter we create above
# Read more about [other query options and filters](get-alerts.md).
$url = "https://api.securitycenter.microsoft.com/api/alerts?`$filter=alertCreationTime ge $dateTime"

# Set the WebRequest headers
$headers = @{
    'Content-Type' = 'application/json'
    Accept = 'application/json'
    Authorization = "Bearer $token"
}

# Send the webrequest and get the results.
$response = Invoke-WebRequest -Method Get -Uri $url -Headers $headers -ErrorAction Stop

# Extract the alerts from the results.
$alerts =  ($response | ConvertFrom-Json).value | ConvertTo-Json

# Get string with the execution time. We concatenate that string to the output file to avoid overwrite the file
$dateTimeForFileName = Get-Date -Format o | foreach {$_ -replace ":", "."}

# Save the result as json and as csv
$outputJsonPath = "./Latest Alerts $dateTimeForFileName.json"
$outputCsvPath = "./Latest Alerts $dateTimeForFileName.csv"

Out-File -FilePath $outputJsonPath -InputObject $alerts
($alerts | ConvertFrom-Json) | Export-CSV $outputCsvPath -NoTypeInformation

Kaikki on valmista! Olet onnistunut:

  • Luotu ja rekisteröity ja sovellus
  • Sille on myönnetty oikeus lukea ilmoituksia kyseiselle sovellukselle
  • Yhdistetty ohjelmointirajapinta
  • On käyttänyt PowerShell-komentosarjaa viimeisen 48 tunnin aikana luotujen ilmoitusten palauttamiseen

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.