Sdílet prostřednictvím


Create aplikace pro přístup k rozhraním API Microsoft Defender XDR jménem uživatele

Platí pro:

  • Microsoft Defender XDR

Důležité

Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Tato stránka popisuje, jak vytvořit aplikaci pro získání programového přístupu k Microsoft Defender XDR jménem jednoho uživatele.

Pokud potřebujete programový přístup k Microsoft Defender XDR bez definovaného uživatele (například pokud píšete aplikaci na pozadí nebo proces démon), přečtěte si téma Create aplikace pro přístup k Microsoft Defender XDR bez uživatele. Pokud potřebujete poskytnout přístup pro více tenantů , například pokud obsluhujete velkou organizaci nebo skupinu zákazníků, přečtěte si téma Create aplikace s přístupem partnera k rozhraním API Microsoft Defender XDR. Pokud si nejste jistí, jaký druh přístupu potřebujete, přečtěte si téma Začínáme.

Microsoft Defender XDR zveřejňuje většinu svých dat a akcí prostřednictvím sady programových rozhraní API. Tato rozhraní API pomáhají automatizovat pracovní postupy a využívat možnosti Microsoft Defender XDR. Tento přístup rozhraní API vyžaduje ověřování OAuth 2.0. Další informace najdete v tématu Tok autorizačního kódu OAuth 2.0.

Obecně platí, že k použití těchto rozhraní API budete muset provést následující kroky:

  • Create aplikace Microsoft Entra.
  • Získání přístupového tokenu pomocí této aplikace
  • Token použijte pro přístup k rozhraní API Microsoft Defender XDR.

Tento článek vysvětluje, jak:

  • Create aplikace Microsoft Entra
  • Získání přístupového tokenu pro Microsoft Defender XDR
  • Ověření tokenu

Poznámka

Při přístupu k rozhraní MICROSOFT DEFENDER XDR API jménem uživatele budete potřebovat správná oprávnění aplikace a uživatelská oprávnění.

Tip

Pokud máte oprávnění k provedení akce na portálu, máte oprávnění k provedení akce v rozhraní API.

Create aplikace

  1. Přihlaste se k Azure jako uživatel s rolí globálního správce .

  2. Přejděte na Microsoft Entra ID>Registrace aplikací>Nová registrace.

    Možnost Nová registrace v podokně Spravovat v Azure Portal

  3. Ve formuláři zvolte název aplikace, zadejte následující informace pro identifikátor URI přesměrování a pak vyberte Zaregistrovat.

    Podokno registrace aplikace v Azure Portal

  4. Na stránce aplikace vyberte Oprávnění> rozhraní API Přidat rozhraní APIoprávnění>, kterápoužívá> moje organizace, zadejte Microsoft Threat Protection a vyberte Microsoft Threat Protection. Vaše aplikace teď má přístup k Microsoft Defender XDR.

    Tip

    Microsoft Threat Protection je dřívější název Microsoft Defender XDR a nezobrazí se v původním seznamu. Aby se zobrazilo, musíte začít psát jeho název do textového pole.

    Podokno rozhraní API vaší organizace na portálu Microsoft Defender

    • Zvolte Delegovaná oprávnění. Zvolte příslušná oprávnění pro váš scénář (například Incident.Read) a pak vyberte Přidat oprávnění.

      Podokno Delegovaná oprávnění na portálu Microsoft Defender

    Poznámka

    Musíte vybrat příslušná oprávnění pro váš scénář. Čtení všech incidentů je jenom příklad. Pokud chcete zjistit, jaké oprávnění potřebujete, projděte si část Oprávnění v rozhraní API, které chcete volat.

    Pokud například chcete spouštět rozšířené dotazy, vyberte oprávnění Spustit rozšířené dotazy. Pokud chcete izolovat zařízení, vyberte oprávnění Izolovat počítač.

  5. Vyberte Udělit souhlas správce. Pokaždé, když přidáte oprávnění, musíte vybrat Udělit souhlas správce , aby se toto oprávnění projevilo.

    Podokno udělení souhlasu správce na portálu Microsoft Defender

  6. Poznamenejte si ID aplikace a ID tenanta na bezpečném místu. Jsou uvedené v části Přehled na stránce vaší aplikace.

    Podokno Přehled na portálu Microsoft Defender

Získání přístupového tokenu

Další informace o tokenech Microsoft Entra najdete v kurzu Microsoft Entra.

Získání přístupového tokenu jménem uživatele pomocí PowerShellu

Pomocí knihovny MSAL.PS můžete získat přístupové tokeny s delegovanými oprávněními. Spuštěním následujících příkazů získejte přístupový token jménem uživatele:

Install-Module -Name MSAL.PS # Install the MSAL.PS module from PowerShell Gallery

$TenantId = " " # Paste your directory (tenant) ID here.
$AppClientId="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" # Paste your application (client) ID here.

$MsalParams = @{
   ClientId = $AppClientId
   TenantId = $TenantId
   Scopes   = 'https://graph.microsoft.com/User.Read.All','https://graph.microsoft.com/Files.ReadWrite','https://api.securitycenter.windows.com/AdvancedQuery.Read'
}

$MsalResponse = Get-MsalToken @MsalParams
$AccessToken  = $MsalResponse.AccessToken
 
$AccessToken # Display the token in PS console

Ověření tokenu

  1. Zkopírujte token a vložte ho do JWT a dekódujte ho.
  2. Ujistěte se, že deklarace identity rolí v dekódovaném tokenu obsahuje požadovaná oprávnění.

Na následujícím obrázku vidíte dekódovaný token získaný z aplikace s oprávněními Incidents.Read.All, Incidents.ReadWrite.Alla AdvancedHunting.Read.All :

Oddíl oprávnění v podokně Dekódovaný token na portálu Microsoft Defender

Použití tokenu pro přístup k rozhraní API Microsoft Defender XDR

  1. Zvolte rozhraní API, které chcete použít (incidenty nebo rozšířené proaktivní vyhledávání). Další informace najdete v tématu Podporovaná rozhraní MICROSOFT DEFENDER XDR API.
  2. V požadavku HTTP, který se chystáte odeslat, nastavte autorizační hlavičku na "Bearer" <token>, Bearer je autorizační schéma a token je váš ověřený token.
  3. Platnost tokenu vyprší do jedné hodiny. Během této doby můžete odeslat více než jednu žádost se stejným tokenem.

Následující příklad ukazuje, jak odeslat žádost o získání seznamu incidentů pomocí jazyka C#.

    var httpClient = new HttpClient();
    var request = new HttpRequestMessage(HttpMethod.Get, "https://api.security.microsoft.com/api/incidents");

    request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);

    var response = httpClient.SendAsync(request).GetAwaiter().GetResult();

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.