ציד מתקדם באמצעות Python
חל על:
רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
הערה
אם אתה לקוח של ממשלת ארה"ב, השתמש בURI המפורטים ב- Microsoft Defender עבור נקודת קצה עבור לקוחות של ממשלת ארה"ב.
עצה
לקבלת ביצועים טובים יותר, באפשרותך להשתמש בשרת קרוב יותר למיקום הגיאוגרפי שלך:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
הפעל שאילתות מתקדמות באמצעות Python, ראה API מתקדם לציד.
בסעיף זה, אנו משתפים דוגמאות Python כדי לאחזר אסימון ולהשתמש בו כדי להפעיל שאילתה.
דרישה מוקדמת: תחילה עליך ליצור יישום.
קבל אסימון
- הפעל את הפקודות הבאות:
import json
import urllib.request
import urllib.parse
tenantId = '00000000-0000-0000-0000-000000000000' # Paste your own tenant ID here
appId = '11111111-1111-1111-1111-111111111111' # Paste your own app ID here
appSecret = '22222222-2222-2222-2222-222222222222' # Paste your own app secret here
url = "https://login.microsoftonline.com/%s/oauth2/token" % (tenantId)
resourceAppIdUri = 'https://api.securitycenter.microsoft.com'
body = {
'resource' : resourceAppIdUri,
'client_id' : appId,
'client_secret' : appSecret,
'grant_type' : 'client_credentials'
}
data = urllib.parse.urlencode(body).encode("utf-8")
req = urllib.request.Request(url, data)
response = urllib.request.urlopen(req)
jsonResponse = json.loads(response.read())
aadToken = jsonResponse["access_token"]
איפה
- tenantId: מזהה הדייר שעבורו ברצונך להפעיל את השאילתה (כלומר, השאילתה מופעלת על הנתונים של דייר זה)
- appId: מזהה היישום Microsoft Entra שלך (היישום חייב להיות בעל הרשאת 'הפעל שאילתות מתקדמות' כדי Microsoft Defender עבור נקודת קצה)
- appSecret: סוד האפליקציה Microsoft Entra שלך
הפעל שאילתה
הפעל את השאילתה הבאה:
query = 'DeviceRegistryEvents | limit 10' # Paste your own query here
url = "https://api.securitycenter.microsoft.com/api/advancedqueries/run"
headers = {
'Content-Type' : 'application/json',
'Accept' : 'application/json',
'Authorization' : "Bearer " + aadToken
}
data = json.dumps({ 'Query' : query }).encode("utf-8")
req = urllib.request.Request(url, data, headers)
response = urllib.request.urlopen(req)
jsonResponse = json.loads(response.read())
schema = jsonResponse["Schema"]
results = jsonResponse["Results"]
- הסכימה מכילה את הסכימה של תוצאות השאילתה שלך
- התוצאות מכילות את תוצאות השאילתה
שאילתות מורכבות
אם ברצונך להפעיל שאילתות מורכבות (או שאילתות מרובות שורות), שמור את השאילתה בקובץ, וב במקום השורה הראשונה בדוגמה לעיל, הפעל את הפקודה הבאה:
queryFile = open("D:\\Temp\\myQuery.txt", 'r') # Replace with the path to your file
query = queryFile.read()
queryFile.close()
עבודה עם תוצאות שאילתה
כעת באפשרותך להשתמש בתוצאות השאילתה.
כדי לחזר אחר התוצאות, השתמש בפקודה הבאה:
for result in results:
print(result) # Prints the whole result
print(result["EventTime"]) # Prints only the property 'EventTime' from the result
כדי ליצור פלט של תוצאות השאילתה בתבנית CSV בתבנית קובץ file1.csv השתמש בפקודה הבאה:
import csv
outputFile = open("D:\\Temp\\file1.csv", 'w')
output = csv.writer(outputFile)
output.writerow(results[0].keys())
for result in results:
output.writerow(result.values())
outputFile.close()
כדי ליצור פלט של תוצאות השאילתה בתבנית JSON בתבנית קובץ file1.json השתמש בפקודה הבאה:
outputFile = open("D:\\Temp\\file1.json", 'w')
json.dump(results, outputFile)
outputFile.close()
נושא קשור
- Microsoft Defender עבור נקודת קצה API של Microsoft Defender עבור נקודת קצה
- API מתקדם לציד
- ציד מתקדם באמצעות PowerShell
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור