Поделиться через


Работа с обнаруженными приложениями через API Graph (предварительная версия)

Microsoft Defender for Cloud Apps поддерживает API Graph Майкрософт, который можно использовать для работы с обнаруженными облачными приложениями, для настройки и автоматизации функциональности страницы обнаруженных приложений на портале Microsoft Defender.

В этой статье приведены примеры процедур использования API uploadedStreams в общих целях.

Предварительные условия

Прежде чем приступить к использованию API Graph, создайте приложение и получите маркер доступа для использования приложения. Затем используйте маркер для доступа к API Defender for Cloud Apps.

  • Обязательно предоставьте приложению разрешения на доступ к Defender for Cloud Apps, предоставив ему CloudApp-Discovery.Read.All разрешения и согласие администратора.

  • Запишите секрет приложения и скопируйте его значение для последующего использования в скриптах.

Вам также потребуется потоковая передача данных из облачного приложения в Microsoft Defender for Cloud Apps.

Дополнительные сведения см. в разделе:

Получение данных об обнаруженных приложениях

Чтобы получить сводку по всем данным, доступным на странице обнаруженных приложений , выполните следующую команду GET:

GET https://graph.microsoft.com/beta/dataDiscovery/cloudAppDiscovery/uploadedStreams

Чтобы детализировать данные для определенного потока, выполните указанные ниже действия.

  1. Скопируйте соответствующее <streamID> значение из выходных данных предыдущей команды.

  2. Выполните следующую команду GET, <streamID> используя значение :

    GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<streamId>/aggregatedAppsDetails(period=duration'P90D')
    

Фильтр по определенному периоду времени и оценке риска

Отфильтруйте команды API с помощью $select и $filter , чтобы получить данные за определенный период времени и оценку риска. Например, чтобы просмотреть имена всех приложений, обнаруженных за последние 30 дней, с оценкой риска ниже или равной 4, выполните следующую команду:

GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<streamId>/aggregatedAppsDetails (period=duration'P30D')?$filter=riskRating  le 4 &$select=displayName

Получение идентификатора пользователя для всех пользователей, устройств или IP-адресов с помощью определенного приложения

Определите пользователей, устройства или IP-адреса, которые в настоящее время используют определенное приложение, выполните одну из следующих команд:

  • Чтобы вернуть пользователей, выполните приведенные далее действия.

    GET  https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<streamId>/aggregatedAppsDetails (period=duration'P30D')/ <id>/users  
    
  • Чтобы вернуть IP-адреса, выполните следующие действия:

    GET  https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<streamId>/aggregatedAppsDetails (period=duration'P30D')/ <id>/ipAddress  
    
  • Чтобы вернуть устройства, выполните следующие действия:

    GET  https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<streamId>/aggregatedAppsDetails (period=duration'P30D')/ <id>/name  
    

Использование фильтров для просмотра приложений по категориям

Используйте фильтры для просмотра приложений определенной категории, например приложений, которые относятся к категории "Маркетинг" и также не соответствуют ТРЕБОВАНИЯМ HIPPA. Например, выполните команду:

GET  https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<MDEstreamId>/aggregatedAppsDetails (period=duration 'P30D')?$filter= (appInfo/Hippa eq 'false') and category eq 'Marketing'  

Дополнительные сведения см. в статье Работа с обнаруженными приложениями и справочник по microsoft API Graph.