Avanceret jagt ved hjælp af PowerShell

Gælder for:

• Microsoft Defender for Endpoint

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Bemærk!

Hvis du er us government-kunde, skal du bruge de URI'er, der er angivet i Microsoft Defender for Endpoint for US Government-kunder.

Tip

For at opnå en bedre ydeevne kan du bruge serveren tættere på din geografiske placering:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com
• ina.api.security.microsoft.com

Kør avancerede forespørgsler ved hjælp af PowerShell. Du kan finde flere oplysninger under API til avanceret jagt.

I dette afsnit deler vi PowerShell-eksempler for at hente et token og bruge det til at køre en forespørgsel.

Før du begynder

Du skal først oprette en app.

Forberedelsesinstruktioner

• Åbn et PowerShell-vindue.

• Hvis din politik ikke tillader, at du kører PowerShell-kommandoerne, kan du køre følgende kommando:

  Set-ExecutionPolicy -ExecutionPolicy Bypass
  

Du kan få flere oplysninger i PowerShell-dokumentationen.

Hent token

• Kør følgende:

$tenantId = '00000000-0000-0000-0000-000000000000' # Paste your own tenant ID here
$appId = '11111111-1111-1111-1111-111111111111' # Paste your own app ID here
$appSecret = '22222222-2222-2222-2222-222222222222' # Paste your own app secret here

$resourceAppIdUri = 'https://api.securitycenter.microsoft.com'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/token"
$body = [Ordered] @{
    resource = "$resourceAppIdUri"
    client_id = "$appId"
    client_secret = "$appSecret"
    grant_type = 'client_credentials'
}
$response = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $body -ErrorAction Stop
$aadToken = $response.access_token

Hvor

• $tenantId: Id'et for den lejer, som du vil køre forespørgslen på (dvs. forespørgslen køres på dataene i denne lejer)
• $appId: Id'et for din Microsoft Entra-app (appen skal have tilladelsen 'Kør avancerede forespørgsler' til Defender for Endpoint)
• $appSecret: Hemmeligheden ved din Microsoft Entra-app

Kør forespørgsel

Kør følgende forespørgsel:

$token = $aadToken
$query = 'DeviceRegistryEvents | limit 10' # Paste your own query here

$url = "https://api.securitycenter.microsoft.com/api/advancedqueries/run"
$headers = @{ 
    'Content-Type' = 'application/json'
    Accept = 'application/json'
    Authorization = "Bearer $aadToken" 
}
$body = ConvertTo-Json -InputObject @{ 'Query' = $query }
$webResponse = Invoke-WebRequest -Method Post -Uri $url -Headers $headers -Body $body -ErrorAction Stop
$response =  $webResponse | ConvertFrom-Json
$results = $response.Results
$schema = $response.Schema

• $results indeholder resultaterne af forespørgslen
• $schema indeholder skemaet over resultaterne af forespørgslen

Komplekse forespørgsler

Hvis du vil køre komplekse forespørgsler (eller forespørgsler med flere linjer), skal du gemme forespørgslen i en fil og i stedet for den første linje i ovenstående eksempel køre følgende kommando:

$query = [IO.File]::ReadAllText("C:\myQuery.txt"); # Replace with the path to your file

Arbejd med forespørgselsresultater

Du kan nu bruge forespørgselsresultaterne.

Kør følgende kommando for at sende resultaterne af forespørgslen i CSV-format i file1.csv:

$results | ConvertTo-Csv -NoTypeInformation | Set-Content C:\file1.csv

Kør følgende kommando for at sende resultaterne af forespørgslen i JSON-format i file1.json:

$results | ConvertTo-Json | Set-Content file1.json

Relateret artikel

• Microsoft Defender for Endpoint-API'er
• API til avanceret jagt
• Avanceret jagt ved hjælp af Python

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.