Jaa

Sovelluksen luominen Käyttämään Microsoft Defender for Endpointia ilman käyttäjää

  • Artikkeli

Koskee seuraavia:

Tärkeää

Defender for Business ei sisällä kehittyneitä metsästysominaisuuksia.

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Huomautus

Jos olet Yhdysvaltain valtionhallinnon asiakas, käytä Microsoft Defender for Endpoint for Us Government -asiakkaille lueteltuja URI-osoitteita.

Vihje

Suorituskyvyn parantamiseksi voit käyttää palvelinta lähempänä maantieteellistä sijaintiasi:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Tällä sivulla kuvataan, miten luodaan sovellus Defender for Endpointin ohjelmallisen käytön saamiseksi ilman käyttäjää. Jos tarvitset ohjelmallisen käyttöoikeuden Defender for Endpointiin käyttäjän puolesta, katso Käyttöoikeus käyttäjäkontekstin avulla. Jos et ole varma, mitä käyttöoikeuksia tarvitset, katso Aloittaminen.

Microsoft Defender for Endpoint paljastaa suuren osan tiedoistaan ja toiminnoistaan ohjelmallisten ohjelmointirajapintojen avulla. Näiden ohjelmointirajapintojen avulla voit automatisoida työnkulkuja ja innovoida Defender for Endpoint -ominaisuuksien perusteella. Ohjelmointirajapinnan käyttö edellyttää OAuth2.0-todennusta. Lisätietoja on artikkelissa OAuth 2.0 -valtuutuskoodin kulku.

Yleensä sinun on suoritettava seuraavat vaiheet ohjelmointirajapintoja varten:

  • Luo Microsoft Entra -sovellus.
  • Hanki käyttöoikeustietue tämän sovelluksen avulla.
  • Käytä tunnuksen avulla Defender for Endpoint -ohjelmointirajapintaa.

Tässä artikkelissa kerrotaan, miten voit luoda Microsoft Entra -sovelluksen, hankkia käyttöoikeustietueen Microsoft Defender for Endpointiin ja vahvistaa tunnuksen.

Tärkeää

Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Tämä auttaa parantamaan organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

Luo sovellus

  1. Kirjaudu sisään Azure-portaaliin käyttäjällä, jolla on yleinen järjestelmänvalvoja -rooli.

  2. Siirry kohtaan Microsoft Entra ID>-sovelluksen rekisteröinnit>Uusi rekisteröinti.

    Sovelluksen rekisteröintiruutu

  3. Valitse rekisteröintilomakkeessa sovelluksesi nimi ja valitse sitten Rekisteröi.

  4. Jos haluat antaa sovelluksellesi oikeuden käyttää Defender for Endpointia ja määrittää sille Kaikkien ilmoitusten luku -käyttöoikeuden, valitse sovellussivulla Ohjelmointirajapinnan käyttöoikeudetLisääkäyttöoikeusrajapinnat>>,joita organisaationi käyttää>, kirjoita WindowsDefenderATP ja valitse sitten WindowsDefenderATP.

    Huomautus

    WindowsDefenderATP ei näy alkuperäisessä luettelossa. Aloita sen nimen kirjoittaminen tekstiruutuun, jotta näet sen näkyvän.

    Ohjelmointirajapinnan käyttöoikeusruutu

    Valitse Sovelluksen käyttöoikeudet>Hälytys.Lue.Kaikki ja valitse sitten Lisää käyttöoikeuksia.

    Sovelluksen käyttöoikeustietoruutu

  5. Valitse asianmukaiset käyttöoikeudet. Read All Alerts on vain esimerkki. Seuraavassa on joitakin esimerkkejä:

    • Jos haluat suorittaa lisäkyselyitä, valitse Run advanced queries käyttöoikeus.
    • Jos haluat eristää laitteen, valitse Isolate machine käyttöoikeus.
    • Voit selvittää, minkä käyttöoikeuden tarvitset, katsomalla käyttöoikeusosiota ohjelmointirajapinnassa, johon haluat soittaa.

  6. Valitse Myönnä suostumus.

    Huomautus

    Aina, kun lisäät käyttöoikeuden, sinun on valittava Myönnä suostumus , jotta uusi käyttöoikeus tulee voimaan.

    Myönnä käyttöoikeuksia -sivu

  7. Jos haluat lisätä sovellukseen salaisen koodin, valitse Varmenteet & salaisuuksia, lisää salaisuuskuvaus ja valitse sitten Lisää.

    Huomautus

    Kun olet valinnut Lisää, valitse kopioi luotu salaisen koodin arvo. Et voi noutaa tätä arvoa poistumisen jälkeen.

    Luo sovellus -vaihtoehto

  8. Kirjoita ylös sovellustunnus ja vuokraajatunnus. Siirry sovellussivulla kohtaan Yleiskatsaus ja kopioi seuraavat.

    Luodut sovellus- ja vuokraajatunnukset

  9. Vain Microsoft Defender for Endpoint Partnersille. Määritä sovelluksesi monivuokraajaksi (käytettävissä kaikissa vuokraajissa suostumuksen jälkeen). Tämä vaaditaan kolmannen osapuolen sovelluksille (jos esimerkiksi luot sovelluksen, joka on tarkoitettu suoritettavaksi useiden asiakkaiden vuokraajassa). Tätä ei tarvita , jos luot palvelun, jota haluat käyttää vain vuokraajassasi (jos esimerkiksi luot oman käyttösi sovelluksen, joka toimii vain omien tietojesi kanssa). Jos haluat määrittää sovelluksesi monivuokraajaksi, toimi seuraavasti:

    1. Siirry todennukseen ja lisää https://portal.azure.comuudelleenohjauksen URI-tunnuksena.

    2. Valitse sivun alareunan Tuetut tilityypit -kohdasta Tilit missä tahansa organisaatiohakemistosovelluksessa , joka antaa suostumuksen usean vuokraajan sovelluksellesi.

      Sovellus on hyväksyttävä jokaisessa vuokraajassa, jossa aiot käyttää sitä. Tämä johtuu siitä, että sovelluksesi on vuorovaikutuksessa Defender for Endpointin kanssa asiakkaasi puolesta.

      Sinun (tai asiakkaan, jos kirjoitat kolmannen osapuolen sovellusta) on valittava suostumuslinkki ja hyväksyttävä sovelluksesi. Suostumus tulee tehdä käyttäjälle, jolla on Active Directoryn hallintaoikeudet.

      Suostumuslinkki on muodostettu seuraavasti:

      https://login.microsoftonline.com/common/oauth2/authorize?prompt=consent&client_id=00000000-0000-0000-0000-000000000000&response_type=code&sso_reload=true

      Kohde 00000000-0000-0000-0000-000000000000 korvataan sovellustunnuksellasi.

Valmis! Olet rekisteröinyt sovelluksen! Alla on esimerkkejä tunnuksen hankkimisesta ja vahvistamisesta.

Käyttöoikeustietueen hankkiminen

Lisätietoja Microsoft Entra -tunnuksista on Microsoft Entra -opetusohjelmassa.

PowerShellin käyttäminen

# This script acquires the App Context Token and stores it in the variable $token for later use in the script.
# Paste your Tenant ID, App ID, and App Secret (App key) into the indicated quotes below.

$tenantId = '' ### Paste your tenant ID here
$appId = '' ### Paste your Application ID here
$appSecret = '' ### Paste your Application key here

$sourceAppIdUri = 'https://api.securitycenter.microsoft.com/.default'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/v2.0/token"
$authBody = [Ordered] @{
    scope = "$sourceAppIdUri"
    client_id = "$appId"
    client_secret = "$appSecret"
    grant_type = 'client_credentials'
}
$authResponse = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $authBody -ErrorAction Stop
$token = $authResponse.access_token
$token

Käytä C#:a:

Seuraavaa koodia testattiin nuGet Microsoft.Identity.Client 3.19.8:lla.

Tärkeää

Microsoft.IdentityModel.Clients.ActiveDirectory NuGet -paketti ja Azure AD -todentamiskirjasto (ADAL) on vanhentunut. Uusia ominaisuuksia ei ole lisätty 30.6.2020 jälkeen. Suosittelemme sinua päivittämään, katso lisätietoja siirto-oppaasta .

  1. Luo uusi konsolisovellus.

  2. Asenna NuGet Microsoft.Identity.Client.

  3. Lisää seuraavat:

    using Microsoft.Identity.Client;

  4. Kopioi ja liitä seuraava koodi sovellukseesi (muista päivittää kolme muuttujaa: tenantId, appId, appSecret):

    string tenantId = "00000000-0000-0000-0000-000000000000"; // Paste your own tenant ID here
string appId = "11111111-1111-1111-1111-111111111111"; // Paste your own app ID here
string appSecret = "22222222-2222-2222-2222-222222222222"; // Paste your own app secret here for a test, and then store it in a safe place! 
const string authority = "https://login.microsoftonline.com";
const string audience = "https://api.securitycenter.microsoft.com";

IConfidentialClientApplication myApp = ConfidentialClientApplicationBuilder.Create(appId).WithClientSecret(appSecret).WithAuthority($"{authority}/{tenantId}").Build();

List<string> scopes = new List<string>() { $"{audience}/.default" };

AuthenticationResult authResult = myApp.AcquireTokenForClient(scopes).ExecuteAsync().GetAwaiter().GetResult();

string token = authResult.AccessToken;

Pythonin käyttäminen

Katso Tunnuksen hankkiminen Pythonin avulla.

Käytä Curlia

Huomautus

Seuraavassa oletetaan, että Curl for Windows on jo asennettu tietokoneeseesi.

  1. Avaa komentokehote ja määritä sen arvoksi CLIENT_ID Azure-sovellustunnus.

  2. Aseta CLIENT_SECRET Azure-sovelluksen salauskoodiksi.

  3. Määritä TENANT_ID sen asiakkaan Azure-vuokraajatunnus, joka haluaa käyttää Defender for Endpointia sovelluksesi avulla.

  4. Suorita seuraava komento:

    curl -i -X POST -H "Content-Type:application/x-www-form-urlencoded" -d "grant_type=client_credentials" -d "client_id=%CLIENT_ID%" -d "scope=https://securitycenter.onmicrosoft.com/windowsatpservice/.default" -d "client_secret=%CLIENT_SECRET%" "https://login.microsoftonline.com/%TENANT_ID%/oauth2/v2.0/token" -k

    Saat seuraavan koodikatkelman kaltaisen vastauksen:

    {"token_type":"Bearer","expires_in":3599,"ext_expires_in":0,"access_token":"eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIn <truncated> aWReH7P0s0tjTBX8wGWqJUdDA"}

Tunnuksen vahvistaminen

Varmista, että sinulla on oikea tunnus:

  1. Kopioi ja liitä edellisessä vaiheessa saamasi tunnus JWT :hen sen koodaamiseksi.

  2. Varmista, että saat roolivaatimuksen, jolla on halutut käyttöoikeudet.

    Seuraavassa kuvassa näet sovelluksesta hankitun koodatun tunnuksen, jolla on käyttöoikeudet kaikkiin Microsoft Defenderin Endpoint-rooleihin:

    Tunnuksen tiedot -osa

Käytä microsoft Defender for Endpoint -ohjelmointirajapintaa tunnuksen avulla

  1. Valitse ohjelmointirajapinta, jota haluat käyttää. Lisätietoja on kohdassa Tuettu Defender päätepisteen ohjelmointirajapinnoille.

  2. Määritä valtuutusotsikko pyynnössä, http johon Bearer {token} lähetät (Haltija on valtuutusmalli).

  3. Tunnuksen vanhentumisaika on yksi tunti. Voit lähettää useamman kuin yhden pyynnön samalla tunnuuksella.

Seuraavassa on esimerkki siitä, miten lähetetään pyyntö saada luettelo ilmoituksista C#:n avulla:

var httpClient = new HttpClient();

var request = new HttpRequestMessage(HttpMethod.Get, "https://api.securitycenter.microsoft.com/api/alerts");

request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);

var response = httpClient.SendAsync(request).GetAwaiter().GetResult();

// Do something useful with the response

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.