通过图形 API (预览版) 使用发现的应用
Microsoft Defender for Cloud Apps支持Microsoft图形 API,可用于使用已发现的云应用,在Microsoft Defender门户中自定义和自动执行“发现的应用”页功能。
本文提供将 uploadedStreams API 用于常见用途的示例过程。
先决条件
在开始使用图形 API之前,请确保创建应用并获取访问令牌以使用该应用程序。 然后,使用该令牌访问 Defender for Cloud Apps API。
通过向应用授予权限和管理员同意,确保授予应用
CloudApp-Discovery.Read.All访问Defender for Cloud Apps的权限。记下应用机密并复制其值,以便稍后在脚本中使用。
还需要将云应用数据流式传输到Microsoft Defender for Cloud Apps。
有关更多信息,请参阅:
获取有关已发现应用的数据
若要获取“ 发现的应用 ”页上所有可用数据的高级摘要,请运行以下 GET 命令:
GET https://graph.microsoft.com/beta/dataDiscovery/cloudAppDiscovery/uploadedStreams
向下钻取到特定流的数据:
从上一个命令的输出中复制相关
<streamID>值。使用
<streamID>值运行以下 GET 命令:GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<streamId>/aggregatedAppsDetails(period=duration'P90D')
筛选特定时间段和风险评分
使用 $select 和 $filter 筛选 API 命令,以获取特定时间段的数据和风险评分。 例如,若要查看过去 30 天内发现且风险分数低于或等于 4 的所有应用的名称,请运行:
GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<streamId>/aggregatedAppsDetails (period=duration'P30D')?$filter=riskRating le 4 &$select=displayName
使用特定应用获取所有用户、设备或 IP 地址的 userIdentifier
标识当前使用特定应用的用户、设备或 IP 地址,运行以下命令之一:
返回用户:
GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<streamId>/aggregatedAppsDetails (period=duration'P30D')/ <id>/users返回 IP 地址:
GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<streamId>/aggregatedAppsDetails (period=duration'P30D')/ <id>/ipAddress若要返回设备,请执行以下操作:
GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<streamId>/aggregatedAppsDetails (period=duration'P30D')/ <id>/name
使用筛选器按类别查看应用
使用筛选器查看特定类别的应用,例如分类为 “市场营销”且不符合 HIPPA 的应用。 例如,运行:
GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<MDEstreamId>/aggregatedAppsDetails (period=duration 'P30D')?$filter= (appInfo/Hippa eq 'false') and category eq 'Marketing'
相关内容
有关详细信息,请参阅使用发现的应用和Microsoft图形 API参考。