Speciális veszélyforrás-keresés a PowerShell használatával
Érintett szolgáltatás:
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra
Megjegyzés:
Ha Ön az USA kormányzati szerveinek ügyfele, használja az USA kormányzati ügyfeleinek készült Végponthoz készült Microsoft Defenderben felsorolt URI-kat.
Tipp
A jobb teljesítmény érdekében a földrajzi helyhez közelebbi kiszolgálót használhat:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Speciális lekérdezések futtatása a PowerShell használatával. További információ: Advanced Hunting API.
Ebben a szakaszban PowerShell-mintákat osztunk meg egy jogkivonat lekéréséhez és lekérdezés futtatásához.
Az első lépések
Először létre kell hoznia egy alkalmazást.
Előkészítési utasítások
Nyisson meg egy PowerShell-ablakot.
Ha a szabályzat nem teszi lehetővé a PowerShell-parancsok futtatását, a következő parancsot futtathatja:
Set-ExecutionPolicy -ExecutionPolicy Bypass
További információ: PowerShell-dokumentáció.
Jogkivonat lekérése
- Futtassa a következőt:
$tenantId = '00000000-0000-0000-0000-000000000000' # Paste your own tenant ID here
$appId = '11111111-1111-1111-1111-111111111111' # Paste your own app ID here
$appSecret = '22222222-2222-2222-2222-222222222222' # Paste your own app secret here
$resourceAppIdUri = 'https://api.securitycenter.microsoft.com'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/token"
$body = [Ordered] @{
resource = "$resourceAppIdUri"
client_id = "$appId"
client_secret = "$appSecret"
grant_type = 'client_credentials'
}
$response = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $body -ErrorAction Stop
$aadToken = $response.access_token
Hol
- $tenantId: Annak a bérlőnek az azonosítója, amelynek nevében futtatni szeretné a lekérdezést (azaz a lekérdezés ennek a bérlőnek az adatain fut)
- $appId: A Microsoft Entra-alkalmazás azonosítója (az alkalmazásnak "Speciális lekérdezések futtatása" engedéllyel kell rendelkeznie a Végponthoz készült Defenderben)
- $appSecret: A Microsoft Entra-alkalmazás titkos kódja
Lekérdezés futtatása
Futtassa a következő lekérdezést:
$token = $aadToken
$query = 'DeviceRegistryEvents | limit 10' # Paste your own query here
$url = "https://api.securitycenter.microsoft.com/api/advancedqueries/run"
$headers = @{
'Content-Type' = 'application/json'
Accept = 'application/json'
Authorization = "Bearer $aadToken"
}
$body = ConvertTo-Json -InputObject @{ 'Query' = $query }
$webResponse = Invoke-WebRequest -Method Post -Uri $url -Headers $headers -Body $body -ErrorAction Stop
$response = $webResponse | ConvertFrom-Json
$results = $response.Results
$schema = $response.Schema
- $results tartalmazza a lekérdezés eredményeit
- $schema tartalmazza a lekérdezés eredményeinek sémáját
Összetett lekérdezések
Ha összetett lekérdezéseket (vagy többsoros lekérdezéseket) szeretne futtatni, mentse a lekérdezést egy fájlba, és a fenti minta első sora helyett futtassa a következő parancsot:
$query = [IO.File]::ReadAllText("C:\myQuery.txt"); # Replace with the path to your file
A lekérdezés eredményeinek használata
Most már használhatja a lekérdezés eredményeit.
Ha a lekérdezés eredményét CSV formátumban szeretné kimenetként file1.csv fájlban, futtassa a következő parancsot:
$results | ConvertTo-Csv -NoTypeInformation | Set-Content C:\file1.csv
Ha a lekérdezés eredményeit JSON formátumban szeretné kimenetként file1.json fájlban, futtassa a következő parancsot:
$results | ConvertTo-Json | Set-Content file1.json
Kapcsolódó cikk
- Végponthoz készült Microsoft Defender API-k
- Advanced Hunting API
- Speciális veszélyforrás-keresés a Python használatával
Tipp
Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.