יצירת יישום לגישה Microsoft Defender XDR API בשם משתמש

חשוב

חלק מהמידע מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.

דף זה מתאר כיצד ליצור יישום כדי לקבל גישה תוכניתית Microsoft Defender XDR בשם משתמש יחיד.

אם אתה זקוק לגישה תוכניתית ל- Microsoft Defender XDR ללא משתמש מוגדר (לדוגמה, אם אתה כותב יישום רקע או Daemon), ראה יצירת יישום כדי לגשת אל Microsoft Defender XDR ללא משתמש. אם עליך לספק גישה לדיירים מרובים - לדוגמה, אם אתה משרת ארגון גדול או קבוצה של לקוחות - ראה יצירת יישום עם גישת שותף לממשקי API של Microsoft Defender XDR API. אם אינך בטוח איזה סוג של גישה דרושה לך, ראה תחילת העבודה.

Microsoft Defender XDR לחשוף חלק גדול מהנתונים והפעולות שלו באמצעות קבוצה של ממשקי API תיכנותיים. ממשקי API אלה עוזרים לך להפוך זרימות עבודה לאוטומטיות ולהשתמש Microsoft Defender XDR היכולות של המשתמשים. גישה זו ל- API מחייבת אימות OAuth2.0. לקבלת מידע נוסף, ראה זרימת קוד הרשאה של OAuth 2.0.

באופן כללי, יהיה עליך לבצע את השלבים הבאים כדי להשתמש בממשקי API אלה:

• צור יישום Microsoft Entra חדש.
• קבל אסימון גישה באמצעות יישום זה.
• השתמש לאסימון כדי לגשת אל Microsoft Defender XDR API.

מאמר זה מסביר כיצד לבצע את האופן בו:

• יצירת יישום Microsoft Entra חדש
• קבל אסימון גישה Microsoft Defender XDR
• אימות האסימון

הערה

בעת גישה Microsoft Defender XDR API בשם משתמש, תזדקק להרשאות היישום ולהרשאות המשתמש הנכונות.

עצה

אם יש לך הרשאה לבצע פעולה בפורטל, יש לך הרשאה לבצע את הפעולה ב- API. לקבלת מידע נוסף אודות תפקידים והרשאות, ראה ניהול גישה Microsoft Defender XDR עם Microsoft Entra כלליים.

יצירת יישום

1. היכנס אל Azure.

2. נווט אל מזהה Microsoft Entra>רישום ליישומים>רישום חדש.

   

3. בטופס, בחר שם עבור היישום והזן את המידע הבא עבור ה- URI של ניתוב מחדש ולאחר מכן בחר הירשם.

   

   • סוג יישום: לקוח ציבורי
   • URI של ניתוב מחדש:https://portal.azure.com

4. בדף היישום שלך, בחר הרשאות API>> הוסף ממשקי API של הרשאות שהארגון שלי משתמשבהם>, הקלד Microsoft Threat Protection ובחר Microsoft Threat Protection. האפליקציה שלך יכולה כעת לגשת Microsoft Defender XDR.

   עצה

   Microsoft Threat Protection הוא שם Microsoft Defender XDR עבור Microsoft, והוא לא יופיע ברשימה המקורית. עליך להתחיל לכתוב את שמו בתיבת הטקסט כדי לראות אותו מופיע.

   

   • בחר הרשאות מוקצות. בחר את ההרשאות הרלוונטיות עבור התרחיש שלך (לדוגמה Incident.Read) ולאחר מכן בחר הוסף הרשאות.

     

   הערה

   עליך לבחור את ההרשאות הרלוונטיות עבור התרחיש שלך. קרא את כל האירועים הוא רק דוגמה. כדי לקבוע איזו הרשאה דרושה לך, עיין בסעיף הרשאות ב- API שאליו ברצונך להתקשר.

   לדוגמה, כדי להפעיל שאילתות מתקדמות, בחר את ההרשאה 'הפעל שאילתות מתקדמות'; כדי לבודד מכשיר, בחר את ההרשאה 'מחשב בודד'.

5. בחר הענק הסכמת מנהל מערכת. בכל פעם שאתה מוסיף הרשאה, עליך לבחור הענק הסכמת מנהל מערכת כדי שהיא תוכל להיכנס לתוקף.

   

6. הקלט את מזהה היישום ואת מזהה הדייר שלך במקום בטוח. הן מופיעות תחת מבט כולל בדף היישום שלך.

   

קבל אסימון גישה

לקבלת מידע נוסף על Microsoft Entra, עיין בערכת Microsoft Entra שלך.

קבלת אסימון גישה בשם משתמש באמצעות PowerShell

השתמש בספריית MSAL.PS כדי להשיג אסימוני גישה עם הרשאות מוקצות. הפעל את הפקודות הבאות כדי לקבל אסימון גישה בשם משתמש:

Install-Module -Name MSAL.PS # Install the MSAL.PS module from PowerShell Gallery

$TenantId = " " # Paste your directory (tenant) ID here.
$AppClientId="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" # Paste your application (client) ID here.

$MsalParams = @{
   ClientId = $AppClientId
   TenantId = $TenantId
   Scopes   = 'https://graph.microsoft.com/User.Read.All','https://graph.microsoft.com/Files.ReadWrite','https://api.securitycenter.windows.com/AdvancedQuery.Read'
}

$MsalResponse = Get-MsalToken @MsalParams
$AccessToken  = $MsalResponse.AccessToken
 
$AccessToken # Display the token in PS console

אימות האסימון

1. העתק והדבק את האסימון ב - JWT כדי לפענח אותו.
2. ודא שתביעת התפקידים בתוך האסימון המפענח מכילה את ההרשאות הרצויות.

בתמונה הבאה, באפשרותך לראות אסימון פענוח שנרכש מיישום, עם Incidents.Read.All, Incidents.ReadWrite.Allוהרשאות AdvancedHunting.Read.All :

השתמש לאסימון כדי לגשת ל- API Microsoft Defender XDR שלך

1. בחר את ה- API שבו ברצונך להשתמש (אירועים או ציד מתקדם). לקבלת מידע נוסף, ראה ממשקי API Microsoft Defender XDR נתמכים.
2. בבקשה http שאתה עומד לשלוח, "Bearer" <token>הגדר את כותרת ההרשאה ל - , הנושא הוא סכימת ההרשאה, ותן אסימון שאומת.
3. תוקפו של האסימון יפוג תוך שעה. באפשרותך לשלוח יותר מבקשה אחת במהלך זמן זה עם אותו אסימון.

הדוגמה הבאה מראה כיצד לשלוח בקשה לקבלת רשימה של אירועים באמצעות C#‎.

    var httpClient = new HttpClient();
    var request = new HttpRequestMessage(HttpMethod.Get, "https://api.security.microsoft.com/api/incidents");

    request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);

    var response = httpClient.SendAsync(request).GetAwaiter().GetResult();

מאמרים קשורים

• Microsoft Defender XDR כולל על ממשקי API
• גישה Microsoft Defender XDR API
• יצירת יישום 'Hello world'
• יצירת יישום כדי לגשת Microsoft Defender XDR ללא משתמש
• יצירת יישום עם גישה לשותפים מרובי דיירים Microsoft Defender XDR API
• קבל מידע על מגבלות API ורישוי
• הכרת קודי שגיאה
• הרשאת OAuth 2.0 עבור כניסה למשתמש וגישת API

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.