Opret en app for at få adgang til Microsoft Defender XDR-API'er på vegne af en bruger

Gælder for:

• Microsoft Defender XDR

Vigtigt!

Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.

På denne side beskrives det, hvordan du opretter et program for at få programmatisk adgang til Microsoft Defender XDR på vegne af en enkelt bruger.

Hvis du har brug for programmatisk adgang til Microsoft Defender XDR uden en defineret bruger (f.eks. hvis du skriver en baggrundsapp eller -daemon), skal du se Opret en app for at få adgang til Microsoft Defender XDR uden en bruger. Hvis du har brug for at give adgang til flere lejere – f.eks. hvis du betjener en stor organisation eller en gruppe kunder – skal du se Opret en app med partneradgang til Microsoft Defender XDR-API'er. Hvis du ikke er sikker på, hvilken type adgang du har brug for, skal du se Kom i gang.

Microsoft Defender XDR fremviser mange af sine data og handlinger via et sæt programmatiske API'er. Disse API'er hjælper dig med at automatisere arbejdsprocesser og gøre brug af Microsoft Defender XDR's funktioner. Denne API-adgang kræver OAuth2.0-godkendelse. Du kan få flere oplysninger under OAuth 2.0 Authorization Code Flow.

Generelt skal du gøre følgende for at bruge disse API'er:

• Opret et Microsoft Entra-program.
• Hent et adgangstoken ved hjælp af dette program.
• Brug tokenet til at få adgang til Microsoft Defender XDR API.

I denne artikel forklares det, hvordan du:

• Opret et Microsoft Entra-program
• Hent et adgangstoken til Microsoft Defender XDR
• Valider tokenet

Bemærk!

Når du tilgår Microsoft Defender XDR-API på vegne af en bruger, skal du have de korrekte programtilladelser og brugertilladelser.

Tip

Hvis du har tilladelse til at udføre en handling på portalen, har du tilladelse til at udføre handlingen i API'en.

Opret en app

1. Log på Azure som bruger med rollen Global administrator .

2. Gå til Microsoft Entra ID>App registrations>Ny registrering.

   

3. I formularen skal du vælge et navn til dit program og angive følgende oplysninger for omdirigerings-URI'en og derefter vælge Registrer.

   

   • Programtype: Offentlig klient
   • Omdirigerings-URI:https://portal.azure.com

4. På din programside skal du vælge API-tilladelser>TilføjtilladelseS-API'er>, som min organisation bruger>, skriv Microsoft Threat Protection, og vælg Microsoft Threat Protection. Din app kan nu få adgang til Microsoft Defender XDR.

   Tip

   Microsoft Threat Protection er et tidligere navn til Microsoft Defender XDR og vises ikke på den oprindelige liste. Du skal begynde at skrive navnet i tekstfeltet for at se det blive vist.

   

   • Vælg Delegerede tilladelser. Vælg de relevante tilladelser til dit scenarie ( f.eks. Incident.Read), og vælg derefter Tilføj tilladelser.

     

   Bemærk!

   Du skal vælge de relevante tilladelser til dit scenarie. Læs alle hændelser er blot et eksempel. Hvis du vil finde ud af, hvilken tilladelse du har brug for, skal du se afsnittet Tilladelser i den API, du vil kalde.

   Hvis du f.eks. vil køre avancerede forespørgsler, skal du vælge tilladelsen 'Kør avancerede forespørgsler'. Hvis du vil isolere en enhed, skal du vælge tilladelsen "Isoler computer".

5. Vælg Giv administratorsamtykke. Hver gang du tilføjer en tilladelse, skal du vælge Giv administratorsamtykke , for at den kan træde i kraft.

   

6. Registrer dit program-id og dit lejer-id et sikkert sted. De vises under Oversigt på din programside.

   

Hent et adgangstoken

Du kan få flere oplysninger om Microsoft Entra-tokens i Microsoft Entra-selvstudiet.

Få et adgangstoken på vegne af en bruger ved hjælp af PowerShell

Brug biblioteket MSAL.PS til at hente adgangstokens med delegerede tilladelser. Kør følgende kommandoer for at få adgangstoken på vegne af en bruger:

Install-Module -Name MSAL.PS # Install the MSAL.PS module from PowerShell Gallery

$TenantId = " " # Paste your directory (tenant) ID here.
$AppClientId="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" # Paste your application (client) ID here.

$MsalParams = @{
   ClientId = $AppClientId
   TenantId = $TenantId
   Scopes   = 'https://graph.microsoft.com/User.Read.All','https://graph.microsoft.com/Files.ReadWrite','https://api.securitycenter.windows.com/AdvancedQuery.Read'
}

$MsalResponse = Get-MsalToken @MsalParams
$AccessToken  = $MsalResponse.AccessToken
 
$AccessToken # Display the token in PS console

Valider tokenet

1. Kopiér og indsæt tokenet i JWT for at afkode det.
2. Sørg for, at rollekravet i det afkodede token indeholder de ønskede tilladelser.

På følgende billede kan du se et afkodet token, der er hentet fra en app, med Incidents.Read.Alltilladelserne , Incidents.ReadWrite.Allog AdvancedHunting.Read.All :

Brug tokenet til at få adgang til Microsoft Defender XDR-API'en

1. Vælg den API, du vil bruge (hændelser eller avanceret jagt). Du kan få flere oplysninger under Understøttede XDR-API'er til Microsoft Defender.
2. I den http-anmodning, du er ved at sende, skal du angive godkendelsesheaderen til "Bearer" <token>, Ihændehaver er godkendelsesskemaet, og tokenet er dit validerede token.
3. Tokenet udløber inden for en time. Du kan sende mere end én anmodning i denne periode med det samme token.

I følgende eksempel kan du se, hvordan du sender en anmodning for at få en liste over hændelser ved hjælp af C#.

    var httpClient = new HttpClient();
    var request = new HttpRequestMessage(HttpMethod.Get, "https://api.security.microsoft.com/api/incidents");

    request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);

    var response = httpClient.SendAsync(request).GetAwaiter().GetResult();

Relaterede artikler

• Oversigt over Microsoft Defender XDR-API'er
• Få adgang til Microsoft Defender XDR-API'er
• Opret en 'Hello world'-app
• Opret en app for at få adgang til Microsoft Defender XDR uden en bruger
• Opret en app med partneradgang med flere lejere til Microsoft Defender XDR-API'er
• Få mere at vide om API-grænser og -licenser
• Forstå fejlkoder
• OAuth 2.0-godkendelse til brugerlogon og API-adgang

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.