Расширенная охота с помощью PowerShell

Область применения:

• Microsoft Defender для конечной точки

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Примечание.

Если вы являетесь клиентом для государственных организаций США, используйте URI, перечисленные в Microsoft Defender для конечной точки для клиентов государственных организаций США.

Совет

Для повышения производительности можно использовать сервер ближе к географическому расположению:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com
• ina.api.security.microsoft.com

Выполнение расширенных запросов с помощью PowerShell. Дополнительные сведения см. в статье Advanced Hunting API.

В этом разделе мы поделимся примерами PowerShell, чтобы получить маркер и использовать его для выполнения запроса.

Подготовка к работе

Сначала необходимо создать приложение.

Инструкции по подготовке

• Откройте окно PowerShell.

• Если политика не позволяет выполнять команды PowerShell, можно выполнить следующую команду:

  Set-ExecutionPolicy -ExecutionPolicy Bypass
  

Дополнительные сведения см. в документации по PowerShell.

Получение маркера

• Выполните следующую команду:

$tenantId = '00000000-0000-0000-0000-000000000000' # Paste your own tenant ID here
$appId = '11111111-1111-1111-1111-111111111111' # Paste your own app ID here
$appSecret = '22222222-2222-2222-2222-222222222222' # Paste your own app secret here

$resourceAppIdUri = 'https://api.securitycenter.microsoft.com'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/token"
$body = [Ordered] @{
    resource = "$resourceAppIdUri"
    client_id = "$appId"
    client_secret = "$appSecret"
    grant_type = 'client_credentials'
}
$response = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $body -ErrorAction Stop
$aadToken = $response.access_token

Где

• $tenantId: идентификатор клиента, от имени которого требуется выполнить запрос (то есть запрос выполняется на данных этого клиента).
• $appId: идентификатор приложения Microsoft Entra (приложение должно иметь разрешение "Выполнение расширенных запросов" для Defender для конечной точки)
• $appSecret: секрет приложения Microsoft Entra

Выполнить запрос

Выполните следующий запрос:

$token = $aadToken
$query = 'DeviceRegistryEvents | limit 10' # Paste your own query here

$url = "https://api.securitycenter.microsoft.com/api/advancedqueries/run"
$headers = @{ 
    'Content-Type' = 'application/json'
    Accept = 'application/json'
    Authorization = "Bearer $aadToken" 
}
$body = ConvertTo-Json -InputObject @{ 'Query' = $query }
$webResponse = Invoke-WebRequest -Method Post -Uri $url -Headers $headers -Body $body -ErrorAction Stop
$response =  $webResponse | ConvertFrom-Json
$results = $response.Results
$schema = $response.Schema

• $results содержат результаты запроса
• $schema содержит схему результатов запроса.

Сложные запросы

Если вы хотите выполнять сложные запросы (или многостроковые запросы), сохраните запрос в файле и вместо первой строки в приведенном выше примере выполните следующую команду:

$query = [IO.File]::ReadAllText("C:\myQuery.txt"); # Replace with the path to your file

Работа с результатами запросов

Теперь можно использовать результаты запроса.

Чтобы вывести результаты запроса в формате CSV в file1.csv файла, выполните следующую команду:

$results | ConvertTo-Csv -NoTypeInformation | Set-Content C:\file1.csv

Чтобы вывести результаты запроса в формате JSON в file1.json файла, выполните следующую команду:

$results | ConvertTo-Json | Set-Content file1.json

Связанная статья

• API Microsoft Defender для конечной точки
• API расширенной охоты
• Расширенная охота с помощью Python

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.