Použití rozhraní API Microsoft Defenderu for Endpoint

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender pro firmy

Důležité

Rozšířené možnosti proaktivního vyhledávání nejsou součástí Defenderu pro firmy.

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Poznámka

Pokud jste zákazníkem státní správy USA, použijte identifikátory URI uvedené v programu Microsoft Defender for Endpoint pro zákazníky státní správy USA.

Tip

Pro lepší výkon můžete použít server blíže k vašemu geografickému umístění:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com
• ina.api.security.microsoft.com

Tato stránka popisuje, jak vytvořit aplikaci pro získání programového přístupu k Defenderu for Endpoint jménem uživatele.

Pokud potřebujete programový přístup k Microsoft Defenderu for Endpoint bez uživatele, projděte si téma Přístup k Microsoft Defenderu for Endpoint s kontextem aplikace.

Pokud si nejste jistí, jaký přístup potřebujete, přečtěte si úvodní stránku.

Microsoft Defender for Endpoint zveřejňuje většinu svých dat a akcí prostřednictvím sady programových rozhraní API. Tato rozhraní API umožňují automatizovat pracovní toky a inovovat na základě funkcí Microsoft Defenderu for Endpoint. Přístup k rozhraní API vyžaduje ověřování OAuth 2.0. Další informace najdete v tématu Tok autorizačního kódu OAuth 2.0.

Obecně platí, že pokud chcete rozhraní API používat, musíte provést následující kroky:

• Vytvoření aplikace Microsoft Entra
• Získání přístupového tokenu pomocí této aplikace
• Použití tokenu pro přístup k rozhraní DEFENDER for Endpoint API

Tato stránka vysvětluje, jak vytvořit aplikaci Microsoft Entra, získat přístupový token pro Microsoft Defender for Endpoint a ověřit token.

Poznámka

Při přístupu k rozhraní MICROSOFT Defender for Endpoint API jménem uživatele budete potřebovat správné oprávnění aplikace a oprávnění uživatele. Pokud nejste obeznámeni s uživatelskými oprávněními v programu Microsoft Defender for Endpoint, přečtěte si téma Správa přístupu k portálu pomocí řízení přístupu na základě role.

Tip

Pokud máte oprávnění k provedení akce na portálu, máte oprávnění k provedení akce v rozhraní API.

Vytvoření aplikace

1. Přihlaste se na portál Microsoft Azure.

2. Přejděte na Microsoft Entra ID>Registrace> aplikacíNová registrace.

   

3. Když se zobrazí stránka Zaregistrovat aplikaci , zadejte informace o registraci vaší aplikace:

   • Název – zadejte smysluplný název aplikace, který se zobrazí uživatelům aplikace.

   • Podporované typy účtů – Vyberte, které účty má vaše aplikace podporovat.

     
     

     Podporované typy účtů	Popis
     Pouze účty v tomto organizačním adresáři	Tuto možnost vyberte, pokud vytváříte obchodní aplikaci. Tato možnost není dostupná, pokud aplikaci neregistrujete v adresáři. Tato možnost se mapuje na Microsoft Entra-only s jedním tenantem. Tato možnost je výchozí možností, pokud aplikaci neregistrujete mimo adresář. V případech, kdy je aplikace zaregistrovaná mimo adresář, jsou výchozí účty Microsoft Entra pro více tenantů a osobní účty Microsoft.
     Účty v libovolném organizačním adresáři	Tuto možnost vyberte, pokud chcete cílit na všechny firemní a vzdělávací zákazníky. Tato možnost se mapuje na víceklienta microsoft entra-only. Pokud jste aplikaci zaregistrovali jako Microsoft Entra-only s jedním tenantem, můžete ji aktualizovat tak, aby byla Microsoft Entra multiklient a zpět na jednoho tenanta prostřednictvím okna Ověřování .
     Účty v libovolném organizačním adresáři a osobních účtech Microsoft	Tuto možnost vyberte, pokud chcete cílit na nejširší skupinu zákazníků. Tato možnost se mapuje na účty Microsoft Entra pro více tenantů a osobní účty Microsoft. Pokud jste aplikaci zaregistrovali jako účty Microsoft Entra pro více tenantů a osobní účty Microsoft, nemůžete to v uživatelském rozhraní změnit. Místo toho musíte ke změně podporovaných typů účtů použít editor manifestu aplikace.

   • Identifikátor URI přesměrování (volitelné) – Vyberte typ aplikace, kterou vytváříte, webového nebo veřejného klienta (mobilní & desktop) a pak zadejte identifikátor URI přesměrování (nebo adresu URL odpovědi) pro vaši aplikaci.

     • Pro webové aplikace zadejte základní adresu URL vaší aplikace. Může to http://localhost:31544 být například adresa URL webové aplikace spuštěné na místním počítači. Uživatelé by tuto adresu URL použili k přihlášení k webové klientské aplikaci.

     • Pro veřejné klientské aplikace zadejte identifikátor URI, který používá Microsoft Entra ID k vrácení odpovědí na tokeny. Zadejte hodnotu specifickou pro vaši aplikaci, například myapp://auth.

     Konkrétní příklady pro webové aplikace nebo nativní aplikace najdete v našich rychlých startech.

     Po dokončení vyberte Zaregistrovat.

4. Povolte aplikaci přístup k Microsoft Defenderu for Endpoint a přiřaďte jí oprávnění Ke čtení upozornění:

   • Na stránce vaší aplikace vyberte Oprávnění> rozhraní APIPřidatrozhraní API oprávnění>, která moje organizace používá>, zadejte WindowsDefenderATP a vyberte WindowsDefenderATP.

     Poznámka

     WindowsDefenderATP se nezobrazuje v původním seznamu. Začněte psát jeho název do textového pole, aby se zobrazilo.

     

   • Zvolte Upozornění delegovanýchoprávnění.Číst>> vyberte Přidat oprávnění.

     

   Důležité

   Vyberte příslušná oprávnění. Upozornění na čtení jsou jenom příkladem.

   Příklady:

   • Pokud chcete spouštět rozšířené dotazy, vyberte Oprávnění Ke spouštění rozšířených dotazů .

   • Pokud chcete izolovat zařízení, vyberte Izolovat oprávnění počítače .

   • Pokud chcete zjistit, jaké oprávnění potřebujete, projděte si část Oprávnění v rozhraní API, které chcete volat.

   • Vyberte Udělit souhlas.

     Poznámka

     Pokaždé, když přidáte oprávnění, musíte vybrat možnost Udělit souhlas , aby se nové oprávnění projevilo.

     

5. Poznamenejte si ID aplikace a ID tenanta.

   Na stránce aplikace přejděte na Přehled a zkopírujte následující informace:

   

Získání přístupového tokenu

Další informace o tokenech Microsoft Entra najdete v kurzu Microsoft Entra.

Pomocí jazyka C#

• Zkopírujte nebo vložte následující třídu do aplikace.

• K získání tokenu použijte metodu AcquireUserTokenAsync s ID aplikace, ID tenanta, uživatelským jménem a heslem.

  namespace WindowsDefenderATP
  {
      using System.Net.Http;
      using System.Text;
      using System.Threading.Tasks;
      using Newtonsoft.Json.Linq;
  
      public static class WindowsDefenderATPUtils
      {
          private const string Authority = "https://login.microsoftonline.com";
  
          private const string WdatpResourceId = "https://api.securitycenter.microsoft.com";
  
          public static async Task<string> AcquireUserTokenAsync(string username, string password, string appId, string tenantId)
          {
              using (var httpClient = new HttpClient())
              {
                  var urlEncodedBody = $"resource={WdatpResourceId}&client_id={appId}&grant_type=password&username={username}&password={password}";
  
                  var stringContent = new StringContent(urlEncodedBody, Encoding.UTF8, "application/x-www-form-urlencoded");
  
                  using (var response = await httpClient.PostAsync($"{Authority}/{tenantId}/oauth2/token", stringContent).ConfigureAwait(false))
                  {
                      response.EnsureSuccessStatusCode();
  
                      var json = await response.Content.ReadAsStringAsync().ConfigureAwait(false);
  
                      var jObject = JObject.Parse(json);
  
                      return jObject["access_token"].Value<string>();
                  }
              }
          }
      }
  }
  

Ověření tokenu

Ověřte, že máte správný token:

• Zkopírujte/vložte do JWT token, který jste získali v předchozím kroku, abyste ho dekódoval.

• Ověřte, že jste získali deklaraci identity scp s požadovanými oprávněními aplikace.

• Na následujícím snímku obrazovky vidíte dekódovaný token získaný z aplikace v tomto kurzu:

  

Použití tokenu pro přístup k rozhraní API Microsoft Defenderu for Endpoint

• Zvolte rozhraní API, které chcete použít – Podporovaná rozhraní API programu Microsoft Defender for Endpoint.

• Nastavte autorizační hlavičku v požadavku HTTP, který odešlete na "Bearer {token}" (Bearer je autorizační schéma).

• Doba vypršení platnosti tokenu je 1 hodina (se stejným tokenem můžete odeslat více než jeden požadavek).

• Příklad odeslání žádosti o získání seznamu upozornění pomocí jazyka C#:

  var httpClient = new HttpClient();
  
  var request = new HttpRequestMessage(HttpMethod.Get, "https://api.securitycenter.microsoft.com/api/alerts");
  
  request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);
  
  var response = httpClient.SendAsync(request).GetAwaiter().GetResult();
  
  // Do something useful with the response
  

Viz také

• Rozhraní API microsoft defenderu for Endpoint
• Přístup k Microsoft Defenderu for Endpoint s kontextem aplikace

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.