Tarkennettu etsintä PowerShellin avulla

Koskee seuraavia:

• Microsoft Defender for Endpoint

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Huomautus

Jos olet Yhdysvaltain valtionhallinnon asiakas, käytä Microsoft Defender for Endpoint lueteltuja URI-tunnuksia Yhdysvaltain valtionhallinnon asiakkaille.

Vihje

Suorituskyvyn parantamiseksi voit käyttää palvelinta lähempänä maantieteellistä sijaintiasi:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com

Suorita kehittyneet kyselyt PowerShellin avulla. Lisätietoja on kohdassa Kehittyneen metsästyksen ohjelmointirajapinta.

Tässä osiossa jaamme PowerShell-malleja tunnuksen noutamiseksi ja sen avulla kyselyn suorittamiseksi.

Alkuvalmistelut

Sinun on ensin luotava sovellus.

Valmisteluohjeet

• Avaa PowerShell-ikkuna.

• Jos käytäntösi ei salli PowerShell-komentojen suorittamista, voit suorittaa seuraavan komennon:

  Set-ExecutionPolicy -ExecutionPolicy Bypass
  

Lisätietoja on PowerShell-dokumentaatiossa.

Hanki tunnus

• Suorita seuraavat toimet:

$tenantId = '00000000-0000-0000-0000-000000000000' # Paste your own tenant ID here
$appId = '11111111-1111-1111-1111-111111111111' # Paste your own app ID here
$appSecret = '22222222-2222-2222-2222-222222222222' # Paste your own app secret here

$resourceAppIdUri = 'https://api.securitycenter.microsoft.com'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/token"
$body = [Ordered] @{
    resource = "$resourceAppIdUri"
    client_id = "$appId"
    client_secret = "$appSecret"
    grant_type = 'client_credentials'
}
$response = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $body -ErrorAction Stop
$aadToken = $response.access_token

Jossa

• $tenantId: sen vuokraajan tunnus, jonka puolesta haluat suorittaa kyselyn (eli kysely suoritetaan tämän vuokraajan tiedoille)
• $appId: Microsoft Entra sovelluksesi tunnus (sovelluksella on oltava Lisäkyselyjen suorittaminen -oikeus Defender for Endpointiin)
• $appSecret: Microsoft Entra sovelluksesi salaisuus

Suorita kysely

Suorita seuraava kysely:

$token = $aadToken
$query = 'DeviceRegistryEvents | limit 10' # Paste your own query here

$url = "https://api.securitycenter.microsoft.com/api/advancedhunting/run"
$headers = @{ 
    'Content-Type' = 'application/json'
    Accept = 'application/json'
    Authorization = "Bearer $aadToken" 
}
$body = ConvertTo-Json -InputObject @{ 'Query' = $query }
$webResponse = Invoke-WebRequest -Method Post -Uri $url -Headers $headers -Body $body -ErrorAction Stop
$response =  $webResponse | ConvertFrom-Json
$results = $response.Results
$schema = $response.Schema

• $results sisältävät kyselyn tulokset
• $schema sisältää kyselyn tulosten rakenteen

Monimutkaiset kyselyt

Jos haluat suorittaa monimutkaisia kyselyitä (tai monirivikyselyitä), tallenna kysely tiedostoon ja suorita yllä olevan mallin ensimmäisen rivin sijaan seuraava komento:

$query = [IO.File]::ReadAllText("C:\myQuery.txt"); # Replace with the path to your file

Kyselytulosten käsitteleminen

Voit nyt käyttää kyselyn tuloksia.

Jos haluat tulostaa kyselyn tulokset CSV-muodossa tiedostossa file1.csv, suorita seuraava komento:

$results | ConvertTo-Csv -NoTypeInformation | Set-Content C:\file1.csv

Jos haluat tulostaa kyselyn tulokset JSON-muodossa tiedoston file1.json, suorita seuraava komento:

$results | ConvertTo-Json | Set-Content file1.json

Aiheeseen liittyvä artikkeli

• Microsoft Defender for Endpoint ohjelmointirajapinnat
• Kehittyneen metsästyksen ohjelmointirajapinta
• Tarkennettu etsintä Pythonin avulla

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.