שימוש ב- Microsoft Defender עבור ממשקי API של נקודת קצה

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender for Business

חשוב

יכולות ציד מתקדמות אינן כלולות ב- Defender for Business.

רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

הערה

אם אתה לקוח של ממשלת ארה"ב, השתמש בURI המפורטים ב - Microsoft Defender for Endpoint עבור לקוחות של ממשלת ארה"ב.

עצה

לקבלת ביצועים טובים יותר, באפשרותך להשתמש בשרת קרוב יותר למיקום הגיאוגרפי שלך:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com
• ina.api.security.microsoft.com

דף זה מתאר כיצד ליצור יישום כדי לקבל גישה תוכניתית אל Defender for Endpoint בשם משתמש.

אם אתה זקוק לגישה תוכניתית ל- Microsoft Defender עבור נקודת קצה ללא משתמש, עיין ב - Access Microsoft Defender for Endpoint עם הקשר יישום.

אם אינך בטוח איזו גישה דרושה לך, קרא את הדף מבוא.

Microsoft Defender for Endpoint חושף חלק גדול מהנתונים והפעולות שלו באמצעות קבוצה של ממשקי API תיכנותיים. ממשקי API אלה מאפשרים לך להפוך זרימות עבודה וחדשות לאוטומטיות בהתבסס על יכולות של Microsoft Defender for Endpoint. גישת ה- API מחייבת אימות OAuth2.0. לקבלת מידע נוסף, ראה זרימת קוד הרשאה של OAuth 2.0.

באופן כללי, עליך לבצע את השלבים הבאים כדי להשתמש בממשקי ה- API:

• יצירת יישום Entra של Microsoft
• קבל אסימון גישה באמצעות יישום זה
• השתמש לאסימון כדי לגשת ל- API של Defender for Endpoint

דף זה מסביר כיצד ליצור יישום Microsoft Entra, לקבל אסימון גישה ל- Microsoft Defender for Endpoint ולאמת את האסימון.

הערה

בעת גישה ל- API של Microsoft Defender עבור נקודת קצה בשם משתמש, תזדקק להרשאות היישום ולהרשאות המשתמש הנכונות. אם אינך מכיר הרשאות משתמש ב- Microsoft Defender עבור נקודת קצה, ראה ניהול גישה לפורטל באמצעות בקרת גישה מבוססת תפקידים.

עצה

אם יש לך הרשאה לבצע פעולה בפורטל, יש לך הרשאה לבצע את הפעולה ב- API.

יצירת יישום

1. היכנס לפורטל פורטל Microsoft Azure.

2. נווט אל רישום חדש שלרישומי אפליקציות של>Microsoft Entra ID>.

   

3. כאשר מופיע הדף רישום יישום , הזן את פרטי הרישום של היישום שלך:

   • Name - הזן שם יישום בעל משמעות המוצג למשתמשים של היישום.

   • סוגי חשבונות נתמכים - בחר בא סוגי החשבונות שברצונך שהיישום שלך יתמוך בהם.

     
     

     סוגי חשבונות נתמכים	תיאור
     חשבונות במדריך כתובות ארגוני זה בלבד	בחר באפשרות זו אם אתה בונה יישום קו פעולה עסקי (LOB). אפשרות זו אינה זמינה אם אינך רשם את היישום במדריך כתובות. אפשרות זו ממופה לדייר יחיד של Microsoft. אפשרות זו היא אפשרות ברירת המחדל אלא אם אתה רשם את היישום מחוץ למדריך כתובות. במקרים שבהם האפליקציה רשומה מחוץ למדריך כתובות, ברירת המחדל היא חשבונות Microsoft Entra Multitenant ואישי.
     חשבונות בכל מדריך כתובות ארגוני	בחר באפשרות זו אם ברצונך לייעד את כל הלקוחות העסקיים וה החינוכיים. אפשרות זו ממופה לריבוי של Microsoft Entra-only. אם רשמת את האפליקציה בדייר יחיד של Microsoft, תוכל לעדכן אותה כך שהיא תהיה מרובת-משתמשים של Microsoft ותחזור לדייר יחיד באמצעות להב האימות .
     חשבונות בכל מדריך כתובות ארגוני וחשבונות Microsoft אישיים	בחר באפשרות זו כדי לייעד את קבוצת הלקוחות רחבה ביותר. אפשרות זו ממופה לחשבון Microsoft רב-משתתפים ואישי של Microsoft. אם רשמת את האפליקציה כחשבונות Microsoft Entra Multitenant וחשבונות אישיים של Microsoft, לא תוכל לשנות זאת בממשק המשתמש. במקום זאת, עליך להשתמש בעורך מניפסט היישום כדי לשנות את סוגי החשבונות הנתמכים.

   • URI של ניתוב מחדש (אופציונלי) - בחר את סוג היישום שאתה בונה, לקוח אינטרנט או ציבורי (שולחן עבודה של & נייד) ולאחר מכן הזן את ה- URI של ניתוב מחדש (או כתובת URL של תשובה) עבור היישום שלך.

     • עבור יישומי אינטרנט, ספק את כתובת ה- URL הבסיסית של היישום שלך. לדוגמה, http://localhost:31544 ייתכן שכתובת ה- URL של יישום אינטרנט הפועלת במחשב המקומי שלך. המשתמשים ישתמשו בכתובת URL זו כדי להיכנס ליישום לקוח אינטרנט.

     • עבור יישומי לקוח ציבוריים, ספק את ה- URI המשמש את Microsoft Entra ID כדי להחזיר תגובות אסימון. הזן ערך ספציפי ליישום שלך, כגון myapp://auth.

     כדי לראות דוגמאות ספציפיות ליישומי אינטרנט או ליישומים מקוריים, עיין במדריכי להתחלה מהירה.

     כשתסיים, בחר הירשם.

4. אפשר ליישום שלך לגשת אל Microsoft Defender for Endpoint ולהקצות לו הרשאת 'קריאת התראות':

   • בדף היישום שלך, בחר הרשאות API>> הוסף ממשקיAPI> של הרשאות שהארגון שלי משתמש בהם, הקלד WindowsDefenderATP ובחר ב- WindowsDefenderATP.

     הערה

     WindowsDefenderATP אינו מופיע ברשימה המקורית. התחל לכתוב את שמו בתיבת הטקסט כדי לראות אותה מופיעה.

     

   • בחר הרשאות מוקצותהתראה.קרא>> בחר הוסף הרשאות.

     

   חשוב

   בחר את ההרשאות הרלוונטיות. קריאה של התראות היא רק דוגמה.

   לדוגמה:

   • כדי להפעיל שאילתות מתקדמות, בחר הפעל הרשאת שאילתות מתקדמות.

   • כדי לבודד מכשיר, בחר בבידוד הרשאת מחשב.

   • כדי לקבוע איזו הרשאה דרושה לך, הצג את המקטע הרשאות ב- API שאליו ברצונך להתקשר.

   • בחר הענק הסכמה.

     הערה

     בכל פעם שאתה מוסיף הרשאה, עליך לבחור באפשרות הענק הסכמה עבור ההרשאה החדשה כדי להיכנס לתוקף.

     

5. רשום לעצמך את מזהה היישום ואת מזהה הדייר שלך.

   בדף היישום שלך, עבור אל מבט כולל והעתק את המידע הבא:

   

קבל אסימון גישה

לקבלת מידע נוסף על אסימוני Microsoft Entra, ראה ערכת לימוד של Microsoft Entra.

שימוש ב- C#‎

• העתק/הדבק את הכיתה שלהלן ביישום שלך.

• השתמש בפעולת שירות AcquireUserTokenAsync עם מזהה היישום, מזהה הדייר, שם המשתמש והסיסמה שלך כדי להשיג אסימון.

  namespace WindowsDefenderATP
  {
      using System.Net.Http;
      using System.Text;
      using System.Threading.Tasks;
      using Newtonsoft.Json.Linq;
  
      public static class WindowsDefenderATPUtils
      {
          private const string Authority = "https://login.microsoftonline.com";
  
          private const string WdatpResourceId = "https://api.securitycenter.microsoft.com";
  
          public static async Task<string> AcquireUserTokenAsync(string username, string password, string appId, string tenantId)
          {
              using (var httpClient = new HttpClient())
              {
                  var urlEncodedBody = $"resource={WdatpResourceId}&client_id={appId}&grant_type=password&username={username}&password={password}";
  
                  var stringContent = new StringContent(urlEncodedBody, Encoding.UTF8, "application/x-www-form-urlencoded");
  
                  using (var response = await httpClient.PostAsync($"{Authority}/{tenantId}/oauth2/token", stringContent).ConfigureAwait(false))
                  {
                      response.EnsureSuccessStatusCode();
  
                      var json = await response.Content.ReadAsStringAsync().ConfigureAwait(false);
  
                      var jObject = JObject.Parse(json);
  
                      return jObject["access_token"].Value<string>();
                  }
              }
          }
      }
  }
  

אימות האסימון

ודא כדי לוודא שיש לך אסימון נכון:

• העתק/הדבק לתוך JWT את האסימון שהכנסת בשלב הקודם כדי לפענח אותו.

• אמת שאתה מקבל דרישת 'scp' עם הרשאות האפליקציה הרצויות.

• בצילום המסך שלהלן תוכל לראות אסימון פענוח שנרכש מהיישום בערכת הלימוד:

  

השתמש לאסימון כדי לגשת ל- API של Microsoft Defender for Endpoint

• בחר את ה- API שבו ברצונך להשתמש - Microsoft Defender נתמך עבור ממשקי API של נקודת קצה.

• הגדר את כותרת ההרשאה בבקשה HTTP שאתה שולח אל "נושא {token}" (הנושא הוא סכימת ההרשאה).

• מועד התפוגה של האסימון הוא שעה (באפשרותך לשלוח יותר מבקשה אחת עם אותו אסימון).

• דוגמה לשליחת בקשה לקבלת רשימה של התראות באמצעות C#‎:

  var httpClient = new HttpClient();
  
  var request = new HttpRequestMessage(HttpMethod.Get, "https://api.securitycenter.microsoft.com/api/alerts");
  
  request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);
  
  var response = httpClient.SendAsync(request).GetAwaiter().GetResult();
  
  // Do something useful with the response
  

למידע נוסף

• Microsoft Defender עבור ממשקי API של נקודת קצה
• גישה אל Microsoft Defender עבור נקודת קצה עם הקשר יישום

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.