Sovelluksen luominen Microsoft Defender for Endpoint käyttämiseksi ilman käyttäjää
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
Tärkeää
Defender for Business eivät sisällä kehittyneitä metsästysominaisuuksia.
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Huomautus
Jos olet Yhdysvaltain valtionhallinnon asiakas, käytä Microsoft Defender for Endpoint lueteltuja URI-tunnuksia Yhdysvaltain valtionhallinnon asiakkaille.
Vihje
Suorituskyvyn parantamiseksi voit käyttää palvelinta lähempänä maantieteellistä sijaintiasi:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Tällä sivulla kuvataan, miten luodaan sovellus Defender for Endpointin ohjelmallisen käytön saamiseksi ilman käyttäjää. Jos tarvitset ohjelmallisen käyttöoikeuden Defender for Endpointiin käyttäjän puolesta, katso Käyttöoikeus käyttäjäkontekstin avulla. Jos et ole varma, mitä käyttöoikeuksia tarvitset, katso Aloittaminen.
Microsoft Defender for Endpoint paljastaa suuren osan tiedoistaan ja toiminnoistaan ohjelmallisten ohjelmointirajapintojen avulla. Näiden ohjelmointirajapintojen avulla voit automatisoida työnkulkuja ja innovoida Defender for Endpoint -ominaisuuksien perusteella. Ohjelmointirajapinnan käyttö edellyttää OAuth2.0-todennusta. Lisätietoja on artikkelissa OAuth 2.0 -valtuutuskoodin kulku.
Yleensä sinun on suoritettava seuraavat vaiheet ohjelmointirajapintoja varten:
- Luo Microsoft Entra sovellus.
- Hanki käyttöoikeustietue tämän sovelluksen avulla.
- Käytä tunnuksen avulla Defender for Endpoint -ohjelmointirajapintaa.
Tässä artikkelissa kerrotaan, miten voit luoda Microsoft Entra sovelluksen, hankkia Microsoft Defender for Endpoint käyttöoikeustietueen ja vahvistaa tunnuksen.
Tärkeää
Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.
Luo sovellus
Kirjaudu Azure-portaaliin.
Siirry kohtaan Microsoft Entra ID>Sovelluksen rekisteröinnit>Uusi rekisteröinti.
Valitse rekisteröintilomakkeessa sovelluksesi nimi ja valitse sitten Rekisteröi.
Jos haluat antaa sovelluksellesi oikeuden käyttää Defender for Endpointia ja määrittää sille Kaikkien ilmoitusten luku -käyttöoikeuden, valitse sovellussivulla Ohjelmointirajapinnan käyttöoikeudetLisääkäyttöoikeusrajapinnat>>,joita organisaationi käyttää>, kirjoita WindowsDefenderATP ja valitse sitten WindowsDefenderATP.
Huomautus
WindowsDefenderATP
ei näy alkuperäisessä luettelossa. Aloita sen nimen kirjoittaminen tekstiruutuun, jotta näet sen näkyvän.Valitse Sovelluksen käyttöoikeudet>Hälytys.Lue.Kaikki ja valitse sitten Lisää käyttöoikeuksia.
Valitse asianmukaiset käyttöoikeudet.
Read All Alerts
on vain esimerkki. Seuraavassa on joitakin esimerkkejä:- Jos haluat suorittaa lisäkyselyitä, valitse
Run advanced queries
käyttöoikeus. - Jos haluat eristää laitteen, valitse
Isolate machine
käyttöoikeus. - Voit selvittää, minkä käyttöoikeuden tarvitset, katsomalla käyttöoikeusosiota ohjelmointirajapinnassa, johon haluat soittaa.
- Jos haluat suorittaa lisäkyselyitä, valitse
Valitse Myönnä suostumus.
Huomautus
Aina, kun lisäät käyttöoikeuden, sinun on valittava Myönnä suostumus , jotta uusi käyttöoikeus tulee voimaan.
Jos haluat lisätä sovellukseen salaisen koodin, valitse Varmenteet & salaisuuksia, lisää salaisuuskuvaus ja valitse sitten Lisää.
Huomautus
Kun olet valinnut Lisää, valitse kopioi luotu salaisen koodin arvo. Et voi noutaa tätä arvoa poistumisen jälkeen.
Kirjoita ylös sovellustunnus ja vuokraajatunnus. Siirry sovellussivulla kohtaan Yleiskatsaus ja kopioi seuraavat.
Vain Microsoft Defender for Endpoint kumppanit. Määritä sovelluksesi monivuokraajaksi (käytettävissä kaikissa vuokraajissa suostumuksen jälkeen). Tämä vaaditaan kolmannen osapuolen sovelluksille (jos esimerkiksi luot sovelluksen, joka on tarkoitettu suoritettavaksi useiden asiakkaiden vuokraajassa). Tätä ei tarvita , jos luot palvelun, jota haluat käyttää vain vuokraajassasi (jos esimerkiksi luot oman käyttösi sovelluksen, joka toimii vain omien tietojesi kanssa). Jos haluat määrittää sovelluksesi monivuokraajaksi, toimi seuraavasti:
Siirry todennukseen ja lisää
https://portal.azure.com
uudelleenohjauksen URI-tunnuksena.Valitse sivun alareunan Tuetut tilityypit -kohdasta Tilit missä tahansa organisaatiohakemistosovelluksessa , joka antaa suostumuksen usean vuokraajan sovelluksellesi.
Sovellus on hyväksyttävä jokaisessa vuokraajassa, jossa aiot käyttää sitä. Tämä johtuu siitä, että sovelluksesi on vuorovaikutuksessa Defender for Endpointin kanssa asiakkaasi puolesta.
Sinun (tai asiakkaan, jos kirjoitat kolmannen osapuolen sovellusta) on valittava suostumuslinkki ja hyväksyttävä sovelluksesi. Suostumus tulee tehdä käyttäjälle, jolla on Active Directoryn hallintaoikeudet.
Suostumuslinkki on muodostettu seuraavasti:
https://login.microsoftonline.com/common/oauth2/authorize?prompt=consent&client_id=00000000-0000-0000-0000-000000000000&response_type=code&sso_reload=true
Kohde
00000000-0000-0000-0000-000000000000
korvataan sovellustunnuksellasi.
Valmis! Olet rekisteröinyt sovelluksen! Alla on esimerkkejä tunnuksen hankkimisesta ja vahvistamisesta.
Käyttöoikeustietueen hankkiminen
Lisätietoja Microsoft Entra tunnuksista on Microsoft Entra opetusohjelmassa.
PowerShellin käyttäminen
# This script acquires the App Context Token and stores it in the variable $token for later use in the script.
# Paste your Tenant ID, App ID, and App Secret (App key) into the indicated quotes below.
$tenantId = '' ### Paste your tenant ID here
$appId = '' ### Paste your Application ID here
$appSecret = '' ### Paste your Application key here
$sourceAppIdUri = 'https://api.securitycenter.microsoft.com/.default'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/v2.0/token"
$authBody = [Ordered] @{
scope = "$sourceAppIdUri"
client_id = "$appId"
client_secret = "$appSecret"
grant_type = 'client_credentials'
}
$authResponse = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $authBody -ErrorAction Stop
$token = $authResponse.access_token
$token
Käytä C#:a:
Seuraavaa koodia testattiin nuGet Microsoft.Identity.Client 3.19.8:lla.
Tärkeää
Microsoft.IdentityModel.Clients.ActiveDirectory NuGet -paketti ja Azure AD Authentication Library (ADAL) on vanhentunut. Uusia ominaisuuksia ei ole lisätty 30.6.2020 jälkeen. Suosittelemme sinua päivittämään, katso lisätietoja siirto-oppaasta .
Luo uusi konsolisovellus.
Asenna NuGet Microsoft.Identity.Client.
Lisää seuraavat:
using Microsoft.Identity.Client;
Kopioi ja liitä seuraava koodi sovellukseesi (muista päivittää kolme muuttujaa:
tenantId, appId, appSecret
):string tenantId = "00000000-0000-0000-0000-000000000000"; // Paste your own tenant ID here string appId = "11111111-1111-1111-1111-111111111111"; // Paste your own app ID here string appSecret = "22222222-2222-2222-2222-222222222222"; // Paste your own app secret here for a test, and then store it in a safe place! const string authority = "https://login.microsoftonline.com"; const string audience = "https://api.securitycenter.microsoft.com"; IConfidentialClientApplication myApp = ConfidentialClientApplicationBuilder.Create(appId).WithClientSecret(appSecret).WithAuthority($"{authority}/{tenantId}").Build(); List<string> scopes = new List<string>() { $"{audience}/.default" }; AuthenticationResult authResult = myApp.AcquireTokenForClient(scopes).ExecuteAsync().GetAwaiter().GetResult(); string token = authResult.AccessToken;
Pythonin käyttäminen
Katso Tunnuksen hankkiminen Pythonin avulla.
Käytä Curlia
Huomautus
Seuraavassa oletetaan, että Curl for Windows on jo asennettu tietokoneeseesi.
Avaa komentokehote ja määritä sen arvoksi
CLIENT_ID
Azure-sovellustunnus.Aseta
CLIENT_SECRET
Azure-sovelluksen salauskoodiksi.Määritä
TENANT_ID
sen asiakkaan Azure-vuokraajatunnus, joka haluaa käyttää Defender for Endpointia sovelluksesi avulla.Suorita seuraava komento:
curl -i -X POST -H "Content-Type:application/x-www-form-urlencoded" -d "grant_type=client_credentials" -d "client_id=%CLIENT_ID%" -d "scope=https://securitycenter.onmicrosoft.com/windowsatpservice/.default" -d "client_secret=%CLIENT_SECRET%" "https://login.microsoftonline.com/%TENANT_ID%/oauth2/v2.0/token" -k
Saat seuraavan koodikatkelman kaltaisen vastauksen:
{"token_type":"Bearer","expires_in":3599,"ext_expires_in":0,"access_token":"eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIn <truncated> aWReH7P0s0tjTBX8wGWqJUdDA"}
Tunnuksen vahvistaminen
Varmista, että sinulla on oikea tunnus:
Kopioi ja liitä edellisessä vaiheessa saamasi tunnus JWT :hen sen koodaamiseksi.
Varmista, että saat roolivaatimuksen, jolla on halutut käyttöoikeudet.
Seuraavassa kuvassa näet sovelluksesta hankitun koodatun tunnuksen, jolla on oikeudet kaikkiin Microsoft Defender for Endpoint rooleihin:
Microsoft Defender for Endpoint-ohjelmointirajapinnan käyttäminen tunnuksen avulla
Valitse ohjelmointirajapinta, jota haluat käyttää. Lisätietoja on kohdassa Tuettu Defender päätepisteen ohjelmointirajapinnoille.
Määritä valtuutusotsikko pyynnössä,
http
johonBearer {token}
lähetät (Haltija on valtuutusmalli).Tunnuksen vanhentumisaika on yksi tunti. Voit lähettää useamman kuin yhden pyynnön samalla tunnuuksella.
Seuraavassa on esimerkki siitä, miten lähetetään pyyntö saada luettelo ilmoituksista C#:n avulla:
var httpClient = new HttpClient();
var request = new HttpRequestMessage(HttpMethod.Get, "https://api.securitycenter.microsoft.com/api/alerts");
request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);
var response = httpClient.SendAsync(request).GetAwaiter().GetResult();
// Do something useful with the response
Tutustu myös seuraaviin ohjeartikkeleihin:
- Tuetut Microsoft Defender for Endpoint -ohjelmointirajapinnat
- Käyttöoikeus Microsoft Defender for Endpoint käyttäjän puolesta
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.