Geavanceerde opsporing met behulp van PowerShell
Van toepassing op:
Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Opmerking
Als u een klant van de Amerikaanse overheid bent, gebruikt u de URI's die worden vermeld in Microsoft Defender voor Eindpunt voor klanten van de Amerikaanse overheid.
Tip
Voor betere prestaties kunt u de server dichter bij uw geografische locatie gebruiken:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Geavanceerde query's uitvoeren met Behulp van PowerShell. Zie Geavanceerde opsporings-API voor meer informatie.
In deze sectie delen we PowerShell-voorbeelden om een token op te halen en gebruiken we dit om een query uit te voeren.
Voordat u begint
U moet eerst een app maken.
Voorbereidingsinstructies
Open een PowerShell-venster.
Als uw beleid u niet toestaat om de PowerShell-opdrachten uit te voeren, kunt u de volgende opdracht uitvoeren:
Set-ExecutionPolicy -ExecutionPolicy Bypass
Zie PowerShell-documentatie voor meer informatie.
Token ophalen
- Voer het volgende uit:
$tenantId = '00000000-0000-0000-0000-000000000000' # Paste your own tenant ID here
$appId = '11111111-1111-1111-1111-111111111111' # Paste your own app ID here
$appSecret = '22222222-2222-2222-2222-222222222222' # Paste your own app secret here
$resourceAppIdUri = 'https://api.securitycenter.microsoft.com'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/token"
$body = [Ordered] @{
resource = "$resourceAppIdUri"
client_id = "$appId"
client_secret = "$appSecret"
grant_type = 'client_credentials'
}
$response = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $body -ErrorAction Stop
$aadToken = $response.access_token
Waar
- $tenantId: id van de tenant namens wie u de query wilt uitvoeren (de query wordt uitgevoerd op de gegevens van deze tenant)
- $appId: id van uw Microsoft Entra-app (de app moet de machtiging Geavanceerde query's uitvoeren hebben voor Defender voor Eindpunt)
- $appSecret: geheim van uw Microsoft Entra-app
Query uitvoeren
Voer de volgende query uit:
$token = $aadToken
$query = 'DeviceRegistryEvents | limit 10' # Paste your own query here
$url = "https://api.securitycenter.microsoft.com/api/advancedqueries/run"
$headers = @{
'Content-Type' = 'application/json'
Accept = 'application/json'
Authorization = "Bearer $aadToken"
}
$body = ConvertTo-Json -InputObject @{ 'Query' = $query }
$webResponse = Invoke-WebRequest -Method Post -Uri $url -Headers $headers -Body $body -ErrorAction Stop
$response = $webResponse | ConvertFrom-Json
$results = $response.Results
$schema = $response.Schema
- $results de resultaten van uw query bevatten
- $schema bevat het schema van de resultaten van uw query
Complexe query's
Als u complexe query's (of query's met meerdere regels) wilt uitvoeren, slaat u de query op in een bestand en voert u in plaats van de eerste regel in het bovenstaande voorbeeld de volgende opdracht uit:
$query = [IO.File]::ReadAllText("C:\myQuery.txt"); # Replace with the path to your file
Werken met queryresultaten
U kunt nu de queryresultaten gebruiken.
Voer de volgende opdracht uit om de resultaten van de query uit te voeren in CSV-indeling in bestand file1.csv:
$results | ConvertTo-Csv -NoTypeInformation | Set-Content C:\file1.csv
Voer de volgende opdracht uit om de resultaten van de query uit te voeren in JSON-indeling in bestand file1.json:
$results | ConvertTo-Json | Set-Content file1.json
Gerelateerd artikel
- Microsoft Defender voor Eindpunt-API's
- Geavanceerde opsporings-API
- Geavanceerde opsporing met behulp van Python
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.