미국 정부 고객인 경우 미국 정부 고객을 위해 엔드포인트용 Microsoft Defender 나열된 URI를 사용하세요.
성능을 향상시키려면 서버를 지리적 위치에 더 가깝게 사용할 수 있습니다.
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
간단한 PowerShell 스크립트를 사용하여 경고 가져오기
이 예제를 진행하는 데 얼마나 걸리나요?
다음 두 단계로 완료하는 데 5분밖에 걸리지 않습니다.
- 애플리케이션 등록
- 예제 사용: 짧은 PowerShell 스크립트의 복사/붙여넣기만 필요
연결할 수 있는 권한이 필요한가요?
애플리케이션 등록 단계의 경우 Microsoft Entra 테넌트에서 적절한 역할이 할당되어야 합니다. 역할에 대한 자세한 내용은 권한 옵션을 참조하세요.
1단계 - Microsoft Entra ID 앱 만들기
Azure 포털에 로그인합니다.
Microsoft Entra ID>앱 등록>새 등록으로 이동합니다.
등록 양식에서 애플리케이션의 이름을 선택한 다음 등록을 선택합니다.
애플리케이션이 엔드포인트용 Defender에 액세스하고 '모든 경고 읽기' 권한을 할당하도록 허용합니다.
애플리케이션 페이지에서 API 권한> 내organization 사용하는>권한> 추가 API를 선택하고 WindowsDefenderATP 유형을 선택하고 WindowsDefenderATP를 선택합니다.
WindowsDefenderATP는 원래 목록에 표시되지 않습니다. 표시되는 것을 보려면 텍스트 상자에 이름을 쓰기 시작해야 합니다.
애플리케이션 권한>Alert.Read.All을 선택한 다음, 권한 추가를 선택합니다.
관련 권한을 선택해야 합니다. 읽기 모든 경고는 예제일 뿐입니다.
동의 부여를 선택합니다.
권한을 추가할 때마다 새 권한이 적용되려면 동의 부여 를 클릭해야 합니다.
애플리케이션에 비밀을 추가합니다.
비밀에 & 인증서를 선택하고, 비밀에 설명을 추가하고, 추가를 선택합니다.
추가를 클릭한 후 생성된 비밀 값을 복사합니다. 당신은 당신이 떠난 후 검색 할 수 없습니다!
애플리케이션 ID 및 테넌트 ID를 적어 씁니다.
애플리케이션 페이지에서 개요 로 이동하여 다음을 복사합니다.
완료되었습니다! 애플리케이션을 성공적으로 등록했습니다!
2단계 - 앱을 사용하여 토큰을 가져와서 이 토큰을 사용하여 API에 액세스합니다.
다음 스크립트를 PowerShell ISE 또는 텍스트 편집기로 복사하고 로
저장합니다.이 스크립트를 실행하면 토큰이 생성되고 이름
아래의 작업 폴더에 저장됩니다.# That code gets the App Context Token and save it to a file named "Latest-token.txt" under the current directory # Paste below your Tenant ID, App ID and App Secret (App key). $tenantId = '' ### Paste your tenant ID here $appId = '' ### Paste your Application ID here $appSecret = '' ### Paste your Application secret here $resourceAppIdUri = 'https://api.securitycenter.microsoft.com' $oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/token" $authBody = [Ordered] @{ resource = "$resourceAppIdUri" client_id = "$appId" client_secret = "$appSecret" grant_type = 'client_credentials' } $authResponse = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $authBody -ErrorAction Stop $token = $authResponse.access_token Out-File -FilePath "./Latest-token.txt" -InputObject $token return $token
정신 검사:
- 스크립트를 실행합니다.
- 브라우저에서 로 https://jwt.ms/이동합니다.
- 토큰(Latest-token.txt 파일의 콘텐츠)을 복사합니다.
- 위쪽 상자에 붙여넣습니다.
- "역할" 섹션을 찾습니다. Alert.Read.All 역할을 찾습니다.
경고를 확인해 보겠습니다.
다음 스크립트는 를 사용하여
API에 액세스하고 지난 48시간 동안 경고를 가져옵니다.이전 스크립트를 저장한 것과 동일한 폴더에 이 스크립트
를 저장합니다.스크립트는 스크립트와 동일한 폴더에 데이터가 있는 두 개의 파일(json 및 csv)을 만듭니다.
# Returns Alerts created in the past 48 hours. $token = ./Get-Token.ps1 #run the script Get-Token.ps1 - make sure you are running this script from the same folder of Get-Token.ps1 # Get Alert from the last 48 hours. Make sure you have alerts in that time frame. $dateTime = (Get-Date).ToUniversalTime().AddHours(-48).ToString("o") # The URL contains the type of query and the time filter we create above # Read more about [other query options and filters](get-alerts.md). $url = "https://api.securitycenter.microsoft.com/api/alerts?`$filter=alertCreationTime ge $dateTime" # Set the WebRequest headers $headers = @{ 'Content-Type' = 'application/json' Accept = 'application/json' Authorization = "Bearer $token" } # Send the webrequest and get the results. $response = Invoke-WebRequest -Method Get -Uri $url -Headers $headers -ErrorAction Stop # Extract the alerts from the results. $alerts = ($response | ConvertFrom-Json).value | ConvertTo-Json # Get string with the execution time. We concatenate that string to the output file to avoid overwrite the file $dateTimeForFileName = Get-Date -Format o | foreach {$_ -replace ":", "."} # Save the result as json and as csv $outputJsonPath = "./Latest Alerts $dateTimeForFileName.json" $outputCsvPath = "./Latest Alerts $dateTimeForFileName.csv" Out-File -FilePath $outputJsonPath -InputObject $alerts ($alerts | ConvertFrom-Json) | Export-CSV $outputCsvPath -NoTypeInformation
모두 완료되었습니다! 성공적으로 다음을 수행했습니다.
- 생성 및 등록 및 애플리케이션
- 해당 애플리케이션에서 경고를 읽을 수 있는 권한이 부여됨
- API 연결
- PowerShell 스크립트를 사용하여 지난 48시간 동안 생성된 경고 반환
