Alkalmazás létrehozása Végponthoz készült Microsoft Defender felhasználó nélkül való eléréséhez
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender Vállalati verzió
Fontos
A speciális veszélyforrás-keresési képességek nem szerepelnek a Defender Vállalati verzió.
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra
Megjegyzés:
Ha Ön az USA kormányzati szerveinek ügyfele, használja a Végponthoz készült Microsoft Defender-ben felsorolt URI-kat az USA kormányzati ügyfelei számára.
Tipp
A jobb teljesítmény érdekében a földrajzi helyhez közelebbi kiszolgálót használhat:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Ez az oldal bemutatja, hogyan hozhat létre alkalmazásokat a Végponthoz készült Defender programozott elérésére felhasználó nélkül. Ha egy felhasználó nevében programozott hozzáférésre van szüksége a Végponthoz készült Defenderhez, olvassa el a Hozzáférés kérése felhasználói környezettel című témakört. Ha nem biztos abban, hogy melyik hozzáférésre van szüksége, olvassa el az Első lépések című témakört.
Végponthoz készült Microsoft Defender az adatok és műveletek nagy részét programozott API-k segítségével teszi elérhetővé. Ezek az API-k segítenek a munkafolyamatok automatizálásában és a Végponthoz készült Defender képességein alapuló innovációban. Az API-hozzáféréshez OAuth2.0-hitelesítés szükséges. További információ: OAuth 2.0 engedélyezési kódfolyamat.
Az API-k használatához általában a következő lépéseket kell elvégeznie:
- Hozzon létre egy Microsoft Entra alkalmazást.
- Hozzáférési jogkivonat lekérése ezzel az alkalmazással.
- A jogkivonat használatával érheti el a Végponthoz készült Defender API-t.
Ez a cikk ismerteti, hogyan hozhat létre Microsoft Entra alkalmazást, hogyan kérhet le hozzáférési jogkivonatot Végponthoz készült Microsoft Defender, és hogyan ellenőrizheti a jogkivonatot.
Fontos
A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Ez segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
Alkalmazás létrehozása
Jelentkezzen be az Azure portálra.
Lépjen a Microsoft Entra ID>Alkalmazásregisztrációk>Új regisztráció elemre.
A regisztrációs űrlapon válassza ki az alkalmazás nevét, majd válassza a Regisztráció lehetőséget.
Ha engedélyezni szeretné, hogy az alkalmazás hozzáférjen a Végponthoz készült Defenderhez, és " Az összes riasztás olvasása" engedélyt rendelje hozzá, az alkalmazás oldalán válassza az API-engedélyek>Engedély hozzáadása>API-kat>, írja be a WindowsDefenderATP kifejezést, majd válassza a WindowsDefenderATP lehetőséget.
Megjegyzés:
WindowsDefenderATP
nem jelenik meg az eredeti listában. Kezdje el beírni a nevét a szövegmezőbe, hogy megjelenjen.Válassza az Alkalmazásengedélyek>Alert.Read.All lehetőséget, majd az Engedélyek hozzáadása lehetőséget.
Válassza ki a megfelelő engedélyeket.
Read All Alerts
ez csak egy példa. Néhány példa:-
Speciális lekérdezések futtatásához válassza ki az
Run advanced queries
engedélyt. -
Az eszköz elkülönítéséhez válassza ki az
Isolate machine
engedélyt. - Annak megállapításához, hogy melyik engedélyre van szüksége, tekintse meg a meghívni kívánt API Engedélyek szakaszát.
-
Speciális lekérdezések futtatásához válassza ki az
Válassza a Hozzájárulás megadása lehetőséget.
Megjegyzés:
Minden alkalommal, amikor hozzáad egy engedélyt, az új engedély érvénybe léptetéséhez a Hozzájárulás megadása lehetőséget kell választania.
Ha titkos kódot szeretne hozzáadni az alkalmazáshoz, válassza a Tanúsítványok & titkos kód lehetőséget, adjon hozzá egy leírást a titkos kódhoz, majd válassza a Hozzáadás lehetőséget.
Megjegyzés:
A Hozzáadás lehetőség kiválasztása után válassza a létrehozott titkos kód értékének másolása lehetőséget. A kilépés után nem fogja tudni lekérni ezt az értéket.
Jegyezze fel az alkalmazásazonosítót és a bérlőazonosítót. Az alkalmazás oldalán lépjen az Áttekintés lapra, és másolja ki az alábbiakat.
Csak Végponthoz készült Microsoft Defender Partnerek számára. Állítsa be az alkalmazást több-bérlősre (a jóváhagyás után az összes bérlőben elérhető). Ez harmadik féltől származó alkalmazások esetében szükséges (például ha olyan alkalmazást hoz létre, amely több ügyfél bérlőjében való futtatásra szolgál). Erre nincs szükség , ha olyan szolgáltatást hoz létre, amelyet csak a bérlőben szeretne futtatni (például ha saját használatra hoz létre egy alkalmazást, amely csak a saját adataival fog kommunikálni). Ha azt szeretné, hogy az alkalmazás több-bérlős legyen, kövesse az alábbi lépéseket:
Lépjen a Hitelesítés területre, és adja hozzá
https://portal.azure.com
átirányítási URI-ként.A lap alján, a Támogatott fióktípusok területen válassza a Fiókok lehetőséget a több-bérlős alkalmazáshoz tartozó bármely szervezeti címtáralkalmazásban .
Az alkalmazást minden olyan bérlőben jóvá kell hagyni, ahol használni szeretné. Ennek az az oka, hogy az alkalmazás az ügyfél nevében kommunikál a Végponthoz készült Defender szolgáltatásban.
Önnek (vagy az ügyfélnek, ha harmadik féltől származó alkalmazást ír) ki kell választania a hozzájárulási hivatkozást, és jóvá kell hagynia az alkalmazást. A hozzájárulást olyan felhasználóval kell megtenni, aki rendszergazdai jogosultságokkal rendelkezik az Active Directoryban.
A hozzájárulási hivatkozás a következőképpen jön létre:
https://login.microsoftonline.com/common/oauth2/authorize?prompt=consent&client_id=00000000-0000-0000-0000-000000000000&response_type=code&sso_reload=true
Ahol
00000000-0000-0000-0000-000000000000
a helyére az alkalmazásazonosító kerül.
Kész! Sikeresen regisztrált egy alkalmazást! A jogkivonatok beszerzéséről és érvényesítéséről alább talál példákat.
Hozzáférési jogkivonat lekérése
A Microsoft Entra tokenekről az Microsoft Entra oktatóanyagban talál további információt.
A PowerShell használata
# This script acquires the App Context Token and stores it in the variable $token for later use in the script.
# Paste your Tenant ID, App ID, and App Secret (App key) into the indicated quotes below.
$tenantId = '' ### Paste your tenant ID here
$appId = '' ### Paste your Application ID here
$appSecret = '' ### Paste your Application key here
$sourceAppIdUri = 'https://api.securitycenter.microsoft.com/.default'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/v2.0/token"
$authBody = [Ordered] @{
scope = "$sourceAppIdUri"
client_id = "$appId"
client_secret = "$appSecret"
grant_type = 'client_credentials'
}
$authResponse = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $authBody -ErrorAction Stop
$token = $authResponse.access_token
$token
A C# használata:
A következő kódot a NuGet Microsoft.Identity.Client 3.19.8-val teszteltük.
Fontos
A Microsoft.IdentityModel.Clients.ActiveDirectory NuGet-csomag és Azure AD Authentication Library (ADAL) elavult. 2020. június 30. óta nem adhatók hozzá új funkciók. Javasoljuk, hogy frissítsen. További részletekért tekintse meg a migrálási útmutatót .
Hozzon létre egy új konzolalkalmazást.
Telepítse a NuGet Microsoft.Identity.Client eszközt.
Adja hozzá a következőket:
using Microsoft.Identity.Client;
Másolja és illessze be a következő kódot az alkalmazásba (ne felejtse el frissíteni a három változót:
tenantId, appId, appSecret
):string tenantId = "00000000-0000-0000-0000-000000000000"; // Paste your own tenant ID here string appId = "11111111-1111-1111-1111-111111111111"; // Paste your own app ID here string appSecret = "22222222-2222-2222-2222-222222222222"; // Paste your own app secret here for a test, and then store it in a safe place! const string authority = "https://login.microsoftonline.com"; const string audience = "https://api.securitycenter.microsoft.com"; IConfidentialClientApplication myApp = ConfidentialClientApplicationBuilder.Create(appId).WithClientSecret(appSecret).WithAuthority($"{authority}/{tenantId}").Build(); List<string> scopes = new List<string>() { $"{audience}/.default" }; AuthenticationResult authResult = myApp.AcquireTokenForClient(scopes).ExecuteAsync().GetAwaiter().GetResult(); string token = authResult.AccessToken;
A Python használata
Lásd: Jogkivonat lekérése a Python használatával.
A Curl használata
Megjegyzés:
Az alábbi eljárás feltételezi, hogy a Windows Curl már telepítve van a számítógépen.
Nyisson meg egy parancssort, és állítsa be
CLIENT_ID
az Azure-alkalmazásazonosítót.Állítsa be
CLIENT_SECRET
az Azure-alkalmazás titkos kódját.Állítsa be
TENANT_ID
annak az ügyfélnek az Azure-bérlőazonosítóját, aki az alkalmazással szeretné elérni a Végponthoz készült Defendert.Futtassa az alábbi parancsot:
curl -i -X POST -H "Content-Type:application/x-www-form-urlencoded" -d "grant_type=client_credentials" -d "client_id=%CLIENT_ID%" -d "scope=https://securitycenter.onmicrosoft.com/windowsatpservice/.default" -d "client_secret=%CLIENT_SECRET%" "https://login.microsoftonline.com/%TENANT_ID%/oauth2/v2.0/token" -k
A következő kódrészlethez hasonló választ kap:
{"token_type":"Bearer","expires_in":3599,"ext_expires_in":0,"access_token":"eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIn <truncated> aWReH7P0s0tjTBX8wGWqJUdDA"}
A jogkivonat ellenőrzése
Győződjön meg arról, hogy a megfelelő jogkivonatot kapta:
A dekódolásához másolja és illessze be az előző lépésben kapott jogkivonatot a JWT-be .
Ellenőrizze, hogy a kívánt engedélyekkel rendelkezik-e szerepkörjogcím.
Az alábbi képen egy olyan dekódolt jogkivonat látható, amely egy alkalmazástól származik, és rendelkezik engedélyekkel Végponthoz készült Microsoft Defender összes szerepköréhez:
A jogkivonat használata Végponthoz készült Microsoft Defender API eléréséhez
Válassza ki a használni kívánt API-t. További információ: Végponthoz készült Defender API-k.
Állítsa be az engedélyezési fejlécet abban a
http
kérelemben, amelyre a kérelmet küldiBearer {token}
(a Tulajdonos az engedélyezési séma).A jogkivonat lejárati ideje egy óra. Több kérést is elküldhet ugyanazzal a jogkivonattal.
Az alábbiakban egy példát láthat arra, hogyan küldhet egy kérést a riasztások listájának lekéréséhez a C# használatával:
var httpClient = new HttpClient();
var request = new HttpRequestMessage(HttpMethod.Get, "https://api.securitycenter.microsoft.com/api/alerts");
request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);
var response = httpClient.SendAsync(request).GetAwaiter().GetResult();
// Do something useful with the response
Lásd még
- Támogatott Végponthoz készült Microsoft Defender API-k
- Hozzáférés Végponthoz készült Microsoft Defender egy felhasználó nevében
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.