Verwenden der Microsoft Defender for Cloud Apps-REST-API zur Interaktion mit Sicherheitsinformationen

  • 5 Minuten

Wenn Sie Microsoft Defender for Cloud Apps in benutzerdefinierte Apps oder Webtools integrieren möchten, möchten Sie möglicherweise, dass Entwickler Defender for Cloud Apps in ihrem benutzerdefinierten Code abfragen können.

In Contoso gibt es beispielsweise eine mobile App, mit der Administratoren gängige Änderungen an den Sicherheitseinstellungen in Azure und Microsoft 365 von jedem beliebigen Standort aus vornehmen können. Sie möchten in dieser Anwendung Warnungen von Defender for Cloud Apps anzeigen können.

Hier erfahren Sie, wie Sie mithilfe der REST-API von Microsoft Defender for Cloud Apps auf Sicherheitsdaten und -einstellungen zugreifen und diese ändern können.

Was ist die REST-API von Microsoft Defender for Cloud Apps?

Eine API (Anwendungsprogrammierschnittstelle) ist eine Gruppe von Objekten und Methoden, die ein Entwickler in Code aufrufen kann, um auf eine Software zuzugreifen und mit ihr zu interagieren. REST-APIs (Representational State Transfer) sind Schnittstellen, die einer Reihe gängiger Anforderungen entsprechen, die einen Aufruf über das Internet ermöglichen. Webdienste veröffentlichen häufig ihre Methoden und Eigenschaften als REST-APIs.

REST-APIs erfüllen in der Regel folgende Kriterien:

  • Sie können sie über HTTP und Port 80 aufrufen. Dieses Kriterium bedeutet, dass REST-APIs häufig über Firewalls zugänglich sind, da Port 80 häufig für den Webzugriff geöffnet ist.
  • Eine REST-API ist zustandslos, d. h. sie speichert keine Zustandsinformationen zwischen Aufrufen. Stattdessen enthält jeder Anruf alle Informationen, die für die Kommunikation mit der API erforderlich sind.
  • Die Antwort liegt in einem bekannten generalisierten Textformat vor, z. B. JavaScript Object Notation (JSON)

Die REST-API für Defender for Cloud Apps ist ein Webdienst, mit dem Sie Methoden in Microsoft Defender for Cloud Apps aufrufen können. So könnten Sie beispielsweise eine benutzerdefinierte App entwickeln, die mit einer REST-API Daten zu Indikatoren für Kompromittierung abruft und diese Informationen einem Benutzer anzeigt. Die App könnte auch die REST-API aufrufen, um diese Indikatoren für Kompromittierung zu ändern.

Die REST-API für Defender for Cloud Apps wird von Entwicklern verwendet, die benutzerdefinierten Code schreiben, der auf Defender for Cloud Apps-Objekte zugreift und diese ändert.

Abfragen der REST-API von Defender für Cloud-Apps

Abfragen der REST-API sind normalerweise in Code formuliert, Sie können jedoch auch das Befehlszeilentool curl verwenden, um Anforderungen zu erstellen und Ergebnisse zu beobachten.

Ein REST-API-Aufruf umfasst in der Regel die folgenden Teile:

  • Ein Vorgang wie GET zum Abrufen von Daten oder POST zum Senden von Daten an den Dienst.
  • Ein Autorisierungstoken für die Authentifizierung beim Dienst.
  • Eine URL, die die Daten angibt, die Sie sehen oder ändern möchten. Die URL hat die Form https://<portal_url>/api/<endpoint>.

Um die Portal-URL für Ihre Instanz von Defender for Cloud Apps zu erhalten, wechseln Sie zum Portal, wählen Sie das Fragezeichen in der Menüleiste aus, und wählen Sie dann Informationen aus. Die Portal-URL wird auf der Seite „Informationen“ angezeigt. Der Endpunkt hängt von den Informationen ab, die Sie abfragen möchten.

Wenn Sie beispielsweise alle Aktivitäten auflisten möchten, die in Ihrem Defender for Cloud Apps-Mandanten definiert sind, verwenden Sie einen curl-Befehl wie den folgenden:

curl -XGET -H "Authorization:Token <your_token_key>" "https://<portal_url>/api/v1/activites"

Um eine Liste fortlaufender Cloud Discovery-Berichte zu erhalten, verwenden Sie einen curl-Befehl wie den folgenden:

curl -XGET -H "Authorization:Token <your_token_key>" "https://<portal_url>/api/discovery/streams/"

Zum Auflisten aller Warnungen verwenden Sie einen curl-Befehl wie den folgenden:

curl -XPOST -H "Authorization:Token <your_token_key>" "https://<portal_url>/api/v1/alerts/"

Diese Befehle geben Antworten im JSON-Format zurück. Dieses Format wird häufig verwendet und ist einfach zu lesen. Beispielsweise kann die Antwort auf Warnungsabfragen wie hier aussehen:

{
  "total": 5 // total number of alerts returned
  "hasNext": true // whether there is more data to show or not.
  "data": [
    // returned alerts
  ]
}

Generieren eines Authentifizierungstokens

Alle Abfragen der REST-API für Microsoft Defender for Cloud Apps müssen mithilfe eines Autorisierungstokens authentifiziert werden.

Hinweis

Das Token ist dem Benutzer zugeordnet, der das Token generiert hat, und erbt die Berechtigungen sowie den Zugriff dieses Benutzers auf Microsoft Defender for Cloud Apps.

Führen Sie die folgenden Schritte aus, um dieses Token zu generieren:

  1. Wählen Sie im Defender for Cloud Apps-Portal im Menü Einstellungen die Option Api-Token für Sicherheitserweiterungen >aus.

  2. Wählen Sie + aus, und wählen Sie dann Neues Token generieren aus.

  3. Geben Sie einen Tokennamen ein, geben Sie Ihr Kennwort erneut ein, und wählen Sie dann Generieren aus.

    Screenshot der Seite „Neues Token generieren“ im Microsoft Cloud App Defender for Cloud Apps-Portal.

  4. Kopieren und speichern Sie das generierte Token für die spätere Verwendung in Ihrem Code oder in curl-Befehlen.

Optimieren von Antworten mithilfe von Filtern

Wenn Ihre Abfrage zu viele Ergebnisse zurückgibt und Sie Drilldowns zu bestimmten Daten ausführen möchten, können Sie Filter verwenden, um eine gezieltere Abfrage zu erstellen.

Mit diesem curl-Befehl werden beispielsweise alle Warnungen mit hohem Schweregrad aufgeführt, die sich auf eine Richtlinie beziehen:

curl -XPOST -H "Authorization:Token <your_token_key>" "https://<portal_url>/api/v1/alerts/" -d '{
  "filters": {
    "source": {
      "eq": "policy"
    },
    "severity": {
      "eq": "2"
    }
  }
}'