Alkalmazás létrehozása a Microsoft Defender XDR API-k felhasználó nevében való eléréséhez

Érintett szolgáltatás:

• Microsoft Defender XDR

Fontos

Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

Ez az oldal bemutatja, hogyan hozhat létre alkalmazásokat, hogy programozott hozzáférést kapjon a Microsoft Defender XDR-hez egyetlen felhasználó nevében.

Ha programozott hozzáférésre van szüksége a Microsoft Defender XDR-hez meghatározott felhasználó nélkül (például ha háttéralkalmazást vagy démont ír), olvassa el az Alkalmazás létrehozása a Microsoft Defender XDR felhasználó nélküli eléréséhez című témakört. Ha több bérlőnek kell hozzáférést biztosítania – például egy nagy szervezetnek vagy egy ügyfélcsoportnak –, olvassa el az Alkalmazás létrehozása partneri hozzáféréssel a Microsoft Defender XDR API-khoz című témakört. Ha nem tudja biztosan, hogy milyen típusú hozzáférésre van szüksége, olvassa el az Első lépések című témakört.

A Microsoft Defender XDR számos programozott API-n keresztül teszi elérhetővé az adatok és műveletek nagy részét. Ezek az API-k segítenek automatizálni a munkafolyamatokat, és kihasználni a Microsoft Defender XDR képességeit. Ehhez az API-hozzáféréshez OAuth2.0-hitelesítés szükséges. További információ: OAuth 2.0 engedélyezési kódfolyamat.

Ezeknek az API-knak a használatához általában a következő lépéseket kell elvégeznie:

• Hozzon létre egy Microsoft Entra-alkalmazást.
• Hozzáférési jogkivonat lekérése ezzel az alkalmazással.
• A jogkivonat használatával érheti el a Microsoft Defender XDR API-t.

Ez a cikk a következő lépéseket ismerteti:

• Microsoft Entra-alkalmazás létrehozása
• Hozzáférési jogkivonat lekérése a Microsoft Defender XDR-hez
• A jogkivonat ellenőrzése

Megjegyzés:

Amikor egy felhasználó nevében fér hozzá a Microsoft Defender XDR API-hoz, a megfelelő alkalmazásengedélyekre és felhasználói engedélyekre lesz szüksége.

Tipp

Ha rendelkezik engedéllyel egy művelet végrehajtásához a portálon, akkor rendelkezik a művelet API-ban való végrehajtásához szükséges engedéllyel.

Alkalmazás létrehozása

1. Jelentkezzen be az Azure-baglobális rendszergazdai szerepkörrel rendelkező felhasználóként.

2. Lépjen a Microsoft Entra ID>Alkalmazásregisztrációk>Új regisztráció elemre.

   

3. Az űrlapon válasszon egy nevet az alkalmazásnak, és adja meg a következő adatokat az átirányítási URI-hoz, majd válassza a Regisztráció lehetőséget.

   

   • Alkalmazás típusa: Nyilvános ügyfél
   • Átirányítási URI:https://portal.azure.com

4. Az alkalmazás oldalán válassza az API-engedélyek>Engedély hozzáadása>API-kat>, írja be a Microsoft Threat Protection kifejezést, majd válassza a Microsoft Threat Protection lehetőséget. Az alkalmazás most már hozzáférhet a Microsoft Defender XDR-hez.

   Tipp

   A Microsoft Threat Protection a Microsoft Defender XDR egy korábbi neve, és nem jelenik meg az eredeti listában. A megjelenítendő szövegmezőbe be kell írnia a nevét.

   

   • Válassza a Delegált engedélyek lehetőséget. Válassza ki a forgatókönyv megfelelő engedélyeit (például Incident.Read), majd válassza az Engedélyek hozzáadása lehetőséget.

     

   Megjegyzés:

   Ki kell választania a forgatókönyvéhez tartozó megfelelő engedélyeket. Az összes incidens elolvasása csak egy példa. Annak megállapításához, hogy melyik engedélyre van szüksége, tekintse meg a meghívni kívánt API Engedélyek szakaszát.

   Speciális lekérdezések futtatásához például válassza a "Speciális lekérdezések futtatása" engedélyt; az eszköz elkülönítéséhez válassza a "Gép elkülönítése" engedélyt.

5. Válassza a Rendszergazdai hozzájárulás megadása lehetőséget. Minden alkalommal, amikor hozzáad egy engedélyt, a rendszergazdai hozzájárulás megadása lehetőséget kell választania ahhoz, hogy érvénybe lépjen.

   

6. Jegyezze fel az alkalmazásazonosítót és a bérlőazonosítót biztonságos helyen. Ezek az alkalmazásoldal Áttekintés területén jelennek meg.

   

Hozzáférési jogkivonat lekérése

A Microsoft Entra-jogkivonatokkal kapcsolatos további információkért tekintse meg a Microsoft Entra oktatóanyagát.

Hozzáférési jogkivonat lekérése egy felhasználó nevében a PowerShell használatával

A MSAL.PS kódtár használatával szerezzen be delegált engedélyekkel rendelkező hozzáférési jogkivonatokat. A hozzáférési jogkivonat felhasználó nevében történő lekéréséhez futtassa az alábbi parancsokat:

Install-Module -Name MSAL.PS # Install the MSAL.PS module from PowerShell Gallery

$TenantId = " " # Paste your directory (tenant) ID here.
$AppClientId="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" # Paste your application (client) ID here.

$MsalParams = @{
   ClientId = $AppClientId
   TenantId = $TenantId
   Scopes   = 'https://graph.microsoft.com/User.Read.All','https://graph.microsoft.com/Files.ReadWrite','https://api.securitycenter.windows.com/AdvancedQuery.Read'
}

$MsalResponse = Get-MsalToken @MsalParams
$AccessToken  = $MsalResponse.AccessToken
 
$AccessToken # Display the token in PS console

A jogkivonat ellenőrzése

1. Másolja és illessze be a jogkivonatot a JWT-be a dekódolásához.
2. Győződjön meg arról, hogy a dekódolt jogkivonaton belüli szerepkörjogcím tartalmazza a kívánt engedélyeket.

Az alábbi képen egy alkalmazásból beszerzett dekódolt jogkivonatot láthat, amely Incidents.Read.Alla , Incidents.ReadWrite.Alla és AdvancedHunting.Read.All az engedélyekkel rendelkezik:

A jogkivonat használata a Microsoft Defender XDR API eléréséhez

1. Válassza ki a használni kívánt API-t (incidensek vagy speciális veszélyforrás-keresés). További információ: Támogatott Microsoft Defender XDR API-k.
2. Az elküldeni kívánt HTTP-kérelemben állítsa az engedélyezési fejlécet a következőre "Bearer" <token>: , Tulajdonos az engedélyezési séma, a jogkivonat pedig az érvényesített jogkivonat.
3. A jogkivonat egy órán belül lejár. Ez idő alatt több kérést is küldhet ugyanazzal a jogkivonattal.

Az alábbi példa bemutatja, hogyan küldhet kérést az incidensek listájának lekéréséhez a C# használatával.

    var httpClient = new HttpClient();
    var request = new HttpRequestMessage(HttpMethod.Get, "https://api.security.microsoft.com/api/incidents");

    request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);

    var response = httpClient.SendAsync(request).GetAwaiter().GetResult();

Kapcsolódó cikkek

• A Microsoft Defender XDR API-k áttekintése
• A Microsoft Defender XDR API-k elérése
• "Hello world" alkalmazás létrehozása
• Alkalmazás létrehozása a Microsoft Defender XDR felhasználó nélküli eléréséhez
• Alkalmazás létrehozása több-bérlős partneri hozzáféréssel a Microsoft Defender XDR API-khoz
• További információ az API-korlátokról és a licencelésről
• A hibakódok ismertetése
• OAuth 2.0-hitelesítés felhasználói bejelentkezéshez és API-hozzáféréshez

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.