Avansert jakt ved hjelp av PowerShell

Gjelder for:

• Microsoft Defender for endepunkt

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Obs!

Hvis du er us Government-kunde, kan du bruke URI-ene som er oppført i Microsoft Defender for Endpoint for US Government-kunder.

Tips

Hvis du vil ha bedre ytelse, kan du bruke serveren nærmere geografisk plassering:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com
• ina.api.security.microsoft.com

Kjør avanserte spørringer ved hjelp av PowerShell. Hvis du vil ha mer informasjon, kan du se API for avansert jakt.

I denne delen deler vi PowerShell-eksempler for å hente et token og bruke det til å kjøre en spørring.

Før du starter

Du må først opprette en app.

Forberedelsesinstruksjoner

• Åpne et PowerShell-vindu.

• Hvis policyen ikke tillater deg å kjøre PowerShell-kommandoene, kan du kjøre følgende kommando:

  Set-ExecutionPolicy -ExecutionPolicy Bypass
  

Hvis du vil ha mer informasjon, kan du se PowerShell-dokumentasjon.

Hent token

• Kjør følgende:

$tenantId = '00000000-0000-0000-0000-000000000000' # Paste your own tenant ID here
$appId = '11111111-1111-1111-1111-111111111111' # Paste your own app ID here
$appSecret = '22222222-2222-2222-2222-222222222222' # Paste your own app secret here

$resourceAppIdUri = 'https://api.securitycenter.microsoft.com'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/token"
$body = [Ordered] @{
    resource = "$resourceAppIdUri"
    client_id = "$appId"
    client_secret = "$appSecret"
    grant_type = 'client_credentials'
}
$response = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $body -ErrorAction Stop
$aadToken = $response.access_token

Hvor

• $tenantId: ID-en til leieren på vegne av den du vil kjøre spørringen for (det vil si at spørringen kjøres på dataene til denne leieren)
• $appId: ID-en til Microsoft Entra-appen (appen må ha tillatelsen Kjør avanserte spørringer til Defender for endepunkt)
• $appSecret: Hemmeligheten bak Microsoft Entra-appen

Kjør spørring

Kjør følgende spørring:

$token = $aadToken
$query = 'DeviceRegistryEvents | limit 10' # Paste your own query here

$url = "https://api.securitycenter.microsoft.com/api/advancedqueries/run"
$headers = @{ 
    'Content-Type' = 'application/json'
    Accept = 'application/json'
    Authorization = "Bearer $aadToken" 
}
$body = ConvertTo-Json -InputObject @{ 'Query' = $query }
$webResponse = Invoke-WebRequest -Method Post -Uri $url -Headers $headers -Body $body -ErrorAction Stop
$response =  $webResponse | ConvertFrom-Json
$results = $response.Results
$schema = $response.Schema

• $results inneholder resultatene av spørringen
• $schema inneholder skjemaet for resultatene av spørringen

Komplekse spørringer

Hvis du vil kjøre komplekse spørringer (eller spørringer med flere linjer), lagrer du spørringen i en fil og kjører følgende kommando i stedet for den første linjen i eksemplet ovenfor:

$query = [IO.File]::ReadAllText("C:\myQuery.txt"); # Replace with the path to your file

Arbeide med spørringsresultater

Du kan nå bruke spørringsresultatene.

Kjør følgende kommando for å sende resultatene av spørringen i CSV-format i file1.csv:

$results | ConvertTo-Csv -NoTypeInformation | Set-Content C:\file1.csv

Hvis du vil sende resultatene av spørringen i JSON-format i file1.json, kjører du følgende kommando:

$results | ConvertTo-Json | Set-Content file1.json

Relatert artikkel

• API-er for Microsoft Defender for endepunkt
• API for avansert jakt
• Avansert jakt ved hjelp av Python

Tips

Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.