Avanceret jagt ved hjælp af PowerShell
Gælder for:
Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Bemærk!
Hvis du er us government-kunde, skal du bruge de URI'er, der er angivet i Microsoft Defender for Endpoint for us Government-kunder.
Tip
For at opnå en bedre ydeevne kan du bruge serveren tættere på din geografiske placering:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
Kør avancerede forespørgsler ved hjælp af PowerShell. Du kan finde flere oplysninger under API til avanceret jagt.
I dette afsnit deler vi PowerShell-eksempler for at hente et token og bruge det til at køre en forespørgsel.
Før du begynder
Du skal først oprette en app.
Forberedelsesinstruktioner
Åbn et PowerShell-vindue.
Hvis din politik ikke tillader, at du kører PowerShell-kommandoerne, kan du køre følgende kommando:
Set-ExecutionPolicy -ExecutionPolicy Bypass
Du kan få flere oplysninger i PowerShell-dokumentationen.
Hent token
- Kør følgende:
$tenantId = '00000000-0000-0000-0000-000000000000' # Paste your own tenant ID here
$appId = '11111111-1111-1111-1111-111111111111' # Paste your own app ID here
$appSecret = '22222222-2222-2222-2222-222222222222' # Paste your own app secret here
$resourceAppIdUri = 'https://api.securitycenter.microsoft.com'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/token"
$body = [Ordered] @{
resource = "$resourceAppIdUri"
client_id = "$appId"
client_secret = "$appSecret"
grant_type = 'client_credentials'
}
$response = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $body -ErrorAction Stop
$aadToken = $response.access_token
Hvor
- $tenantId: Id'et for den lejer, som du vil køre forespørgslen på (dvs. forespørgslen køres på dataene i denne lejer)
- $appId: Id'et for din Microsoft Entra app (appen skal have tilladelsen 'Kør avancerede forespørgsler' til Defender for Endpoint)
- $appSecret: Hemmeligheden bag din Microsoft Entra app
Kør forespørgsel
Kør følgende forespørgsel:
$token = $aadToken
$query = 'DeviceRegistryEvents | limit 10' # Paste your own query here
$url = "https://api.securitycenter.microsoft.com/api/advancedhunting/run"
$headers = @{
'Content-Type' = 'application/json'
Accept = 'application/json'
Authorization = "Bearer $aadToken"
}
$body = ConvertTo-Json -InputObject @{ 'Query' = $query }
$webResponse = Invoke-WebRequest -Method Post -Uri $url -Headers $headers -Body $body -ErrorAction Stop
$response = $webResponse | ConvertFrom-Json
$results = $response.Results
$schema = $response.Schema
- $results indeholder resultaterne af forespørgslen
- $schema indeholder skemaet over resultaterne af forespørgslen
Komplekse forespørgsler
Hvis du vil køre komplekse forespørgsler (eller forespørgsler med flere linjer), skal du gemme forespørgslen i en fil og i stedet for den første linje i ovenstående eksempel køre følgende kommando:
$query = [IO.File]::ReadAllText("C:\myQuery.txt"); # Replace with the path to your file
Arbejd med forespørgselsresultater
Du kan nu bruge forespørgselsresultaterne.
Kør følgende kommando for at sende resultaterne af forespørgslen i CSV-format i file1.csv:
$results | ConvertTo-Csv -NoTypeInformation | Set-Content C:\file1.csv
Kør følgende kommando for at sende resultaterne af forespørgslen i JSON-format i file1.json:
$results | ConvertTo-Json | Set-Content file1.json
Relateret artikel
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om