Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Poznámka
Pokud jste zákazníkem státní správy USA, použijte identifikátory URI uvedené v Microsoft Defender for Endpoint pro zákazníky státní správy USA.
Tip
Pokud chcete dosáhnout lepšího výkonu, místo použití api.security.microsoft.com použijte server blíže k vaší geografické poloze:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
- aea.api.security.microsoft.com
Spouštění pokročilých dotazů pomocí PowerShellu Další informace najdete v tématu Rozhraní API rozšířeného proaktivního proaktivního vyhledávání.
V této části sdílíme ukázky PowerShellu pro načtení tokenu a jeho použití ke spuštění dotazu.
Než začnete
Nejdřív musíte vytvořit aplikaci.
Pokyny k přípravě
Otevřete okno PowerShellu.
Pokud vaše zásady neumožňují spouštět příkazy PowerShellu, můžete spustit následující příkaz:
Set-ExecutionPolicy -ExecutionPolicy Bypass
Další informace najdete v dokumentaci k PowerShellu.
Získání tokenu
- Spusťte následující příkaz:
$tenantId = '00000000-0000-0000-0000-000000000000' # Paste your own tenant ID here
$appId = '11111111-1111-1111-1111-111111111111' # Paste your own app ID here
$appSecret = '22222222-2222-2222-2222-222222222222' # Paste your own app secret here
$resourceAppIdUri = 'https://api.securitycenter.microsoft.com'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/token"
$body = [Ordered] @{
resource = "$resourceAppIdUri"
client_id = "$appId"
client_secret = "$appSecret"
grant_type = 'client_credentials'
}
$response = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $body -ErrorAction Stop
$aadToken = $response.access_token
Kde:
- $tenantId: ID tenanta, jehož jménem chcete dotaz spustit (to znamená, že se dotaz spouští na datech tohoto tenanta)
- $appId: ID aplikace Microsoft Entra (aplikace musí mít oprávnění Ke spouštění rozšířených dotazů pro Defender for Endpoint)
- $appSecret: Tajný kód aplikace Microsoft Entra
Spustit dotaz
Spusťte následující dotaz:
$token = $aadToken
$query = 'DeviceRegistryEvents | limit 10' # Paste your own query here
$url = "https://api.security.microsoft.com/api/advancedqueries/run"
$headers = @{
'Content-Type' = 'application/json'
Accept = 'application/json'
Authorization = "Bearer $aadToken"
}
$body = ConvertTo-Json -InputObject @{ 'Query' = $query }
$webResponse = Invoke-WebRequest -Method Post -Uri $url -Headers $headers -Body $body -ErrorAction Stop
$response = $webResponse | ConvertFrom-Json
$results = $response.Results
$schema = $response.Schema
- $results obsahovat výsledky dotazu
- $schema obsahuje schéma výsledků dotazu.
Složité dotazy
Pokud chcete spouštět složité dotazy (nebo víceřádkové dotazy), uložte dotaz do souboru a místo prvního řádku ve výše uvedené ukázce spusťte následující příkaz:
$query = [IO.File]::ReadAllText("C:\myQuery.txt"); # Replace with the path to your file
Práce s výsledky dotazu
Teď můžete použít výsledky dotazu.
Pokud chcete výstup dotazu ve formátu CSV v souboru file1.csv, spusťte následující příkaz:
$results | ConvertTo-Csv -NoTypeInformation | Set-Content C:\file1.csv
Pokud chcete výstup dotazu ve formátu JSON v souboru file1.json, spusťte následující příkaz:
$results | ConvertTo-Json | Set-Content file1.json
Související články
- rozhraní API Microsoft Defender for Endpoint
- Rozhraní API pro pokročilé proaktivního vyhledávání
- Rozšířené proaktivní vyhledávání pomocí Pythonu
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender pro koncové body.