Alkalmazás létrehozása a Microsoft Defender XDR API-k felhasználó nevében való eléréséhez
Érintett szolgáltatás:
- Microsoft Defender XDR
Fontos
Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
Ez az oldal bemutatja, hogyan hozhat létre alkalmazásokat, hogy programozott hozzáférést kapjon a Microsoft Defender XDR-hez egyetlen felhasználó nevében.
Ha programozott hozzáférésre van szüksége a Microsoft Defender XDR-hez meghatározott felhasználó nélkül (például ha háttéralkalmazást vagy démont ír), olvassa el az Alkalmazás létrehozása a Microsoft Defender XDR felhasználó nélküli eléréséhez című témakört. Ha több bérlőnek kell hozzáférést biztosítania – például egy nagy szervezetnek vagy egy ügyfélcsoportnak –, olvassa el az Alkalmazás létrehozása partneri hozzáféréssel a Microsoft Defender XDR API-khoz című témakört. Ha nem tudja biztosan, hogy milyen típusú hozzáférésre van szüksége, olvassa el az Első lépések című témakört.
A Microsoft Defender XDR számos programozott API-n keresztül teszi elérhetővé az adatok és műveletek nagy részét. Ezek az API-k segítenek automatizálni a munkafolyamatokat, és kihasználni a Microsoft Defender XDR képességeit. Ehhez az API-hozzáféréshez OAuth2.0-hitelesítés szükséges. További információ: OAuth 2.0 engedélyezési kódfolyamat.
Ezeknek az API-knak a használatához általában a következő lépéseket kell elvégeznie:
- Hozzon létre egy Microsoft Entra-alkalmazást.
- Hozzáférési jogkivonat lekérése ezzel az alkalmazással.
- A jogkivonat használatával érheti el a Microsoft Defender XDR API-t.
Ez a cikk a következő lépéseket ismerteti:
- Microsoft Entra-alkalmazás létrehozása
- Hozzáférési jogkivonat lekérése a Microsoft Defender XDR-hez
- A jogkivonat ellenőrzése
Megjegyzés:
Amikor egy felhasználó nevében fér hozzá a Microsoft Defender XDR API-hoz, a megfelelő alkalmazásengedélyekre és felhasználói engedélyekre lesz szüksége.
Tipp
Ha rendelkezik engedéllyel egy művelet végrehajtásához a portálon, akkor rendelkezik a művelet API-ban való végrehajtásához szükséges engedéllyel.
Alkalmazás létrehozása
Jelentkezzen be az Azure-baglobális rendszergazdai szerepkörrel rendelkező felhasználóként.
Lépjen a Microsoft Entra ID>Alkalmazásregisztrációk>Új regisztráció elemre.
Az űrlapon válasszon egy nevet az alkalmazásnak, és adja meg a következő adatokat az átirányítási URI-hoz, majd válassza a Regisztráció lehetőséget.
- Alkalmazás típusa: Nyilvános ügyfél
- Átirányítási URI:https://portal.azure.com
Az alkalmazás oldalán válassza az API-engedélyek>Engedély hozzáadása>API-kat>, írja be a Microsoft Threat Protection kifejezést, majd válassza a Microsoft Threat Protection lehetőséget. Az alkalmazás most már hozzáférhet a Microsoft Defender XDR-hez.
Tipp
A Microsoft Threat Protection a Microsoft Defender XDR egy korábbi neve, és nem jelenik meg az eredeti listában. A megjelenítendő szövegmezőbe be kell írnia a nevét.
Válassza a Delegált engedélyek lehetőséget. Válassza ki a forgatókönyv megfelelő engedélyeit (például Incident.Read), majd válassza az Engedélyek hozzáadása lehetőséget.
Megjegyzés:
Ki kell választania a forgatókönyvéhez tartozó megfelelő engedélyeket. Az összes incidens elolvasása csak egy példa. Annak megállapításához, hogy melyik engedélyre van szüksége, tekintse meg a meghívni kívánt API Engedélyek szakaszát.
Speciális lekérdezések futtatásához például válassza a "Speciális lekérdezések futtatása" engedélyt; az eszköz elkülönítéséhez válassza a "Gép elkülönítése" engedélyt.
Válassza a Rendszergazdai hozzájárulás megadása lehetőséget. Minden alkalommal, amikor hozzáad egy engedélyt, a rendszergazdai hozzájárulás megadása lehetőséget kell választania ahhoz, hogy érvénybe lépjen.
Jegyezze fel az alkalmazásazonosítót és a bérlőazonosítót biztonságos helyen. Ezek az alkalmazásoldal Áttekintés területén jelennek meg.
Hozzáférési jogkivonat lekérése
A Microsoft Entra-jogkivonatokkal kapcsolatos további információkért tekintse meg a Microsoft Entra oktatóanyagát.
Hozzáférési jogkivonat lekérése egy felhasználó nevében a PowerShell használatával
A MSAL.PS kódtár használatával szerezzen be delegált engedélyekkel rendelkező hozzáférési jogkivonatokat. A hozzáférési jogkivonat felhasználó nevében történő lekéréséhez futtassa az alábbi parancsokat:
Install-Module -Name MSAL.PS # Install the MSAL.PS module from PowerShell Gallery
$TenantId = " " # Paste your directory (tenant) ID here.
$AppClientId="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" # Paste your application (client) ID here.
$MsalParams = @{
ClientId = $AppClientId
TenantId = $TenantId
Scopes = 'https://graph.microsoft.com/User.Read.All','https://graph.microsoft.com/Files.ReadWrite','https://api.securitycenter.windows.com/AdvancedQuery.Read'
}
$MsalResponse = Get-MsalToken @MsalParams
$AccessToken = $MsalResponse.AccessToken
$AccessToken # Display the token in PS console
A jogkivonat ellenőrzése
- Másolja és illessze be a jogkivonatot a JWT-be a dekódolásához.
- Győződjön meg arról, hogy a dekódolt jogkivonaton belüli szerepkörjogcím tartalmazza a kívánt engedélyeket.
Az alábbi képen egy alkalmazásból beszerzett dekódolt jogkivonatot láthat, amely Incidents.Read.Alla , Incidents.ReadWrite.Alla és AdvancedHunting.Read.All az engedélyekkel rendelkezik:
A jogkivonat használata a Microsoft Defender XDR API eléréséhez
- Válassza ki a használni kívánt API-t (incidensek vagy speciális veszélyforrás-keresés). További információ: Támogatott Microsoft Defender XDR API-k.
- Az elküldeni kívánt HTTP-kérelemben állítsa az engedélyezési fejlécet a következőre
"Bearer" <token>: , Tulajdonos az engedélyezési séma, a jogkivonat pedig az érvényesített jogkivonat. - A jogkivonat egy órán belül lejár. Ez idő alatt több kérést is küldhet ugyanazzal a jogkivonattal.
Az alábbi példa bemutatja, hogyan küldhet kérést az incidensek listájának lekéréséhez a C# használatával.
var httpClient = new HttpClient();
var request = new HttpRequestMessage(HttpMethod.Get, "https://api.security.microsoft.com/api/incidents");
request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);
var response = httpClient.SendAsync(request).GetAwaiter().GetResult();
Kapcsolódó cikkek
- A Microsoft Defender XDR API-k áttekintése
- A Microsoft Defender XDR API-k elérése
- "Hello world" alkalmazás létrehozása
- Alkalmazás létrehozása a Microsoft Defender XDR felhasználó nélküli eléréséhez
- Alkalmazás létrehozása több-bérlős partneri hozzáféréssel a Microsoft Defender XDR API-khoz
- További információ az API-korlátokról és a licencelésről
- A hibakódok ismertetése
- OAuth 2.0-hitelesítés felhasználói bejelentkezéshez és API-hozzáféréshez
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: