重要
高度なハンティング機能は、Defender for Businessには含まれていません。
注:
米国政府機関のお客様の場合は、米国政府機関のお客様のMicrosoft Defender for Endpointに記載されている URI を使用してください。
Defender for Endpoint は、一連のプログラム API を通じて、そのデータとアクションの多くを公開します。 これらの API を使用すると、Defender for Endpoint 機能に基づいてワークフローを自動化し、イノベーションを行うことができます。 API アクセスには OAuth2.0 認証が必要です。 詳細については、「 OAuth 2.0 承認コード フロー」を参照してください。
Defender for Endpoint の API の概要については、このビデオをご覧ください。
一般に、API を使用するには、次の手順を実行する必要があります。
- Microsoft Entra アプリケーションを作成する
- このアプリケーションを使用してアクセス トークンを取得する
- トークンを使用して Defender for Endpoint API にアクセスする
Defender for Endpoint API には 、アプリケーション コンテキスト または ユーザー コンテキストを使用してアクセスできます。
アプリケーション コンテキスト: (推奨)
サインインしているユーザーが存在せずに実行されるアプリで使用されます。 たとえば、バックグラウンド サービスまたはデーモンとして実行されるアプリなどです。
アプリケーション コンテキストを使用して Defender for Endpoint API にアクセスするために実行する必要がある手順:
Microsoft Entra Web-Application を作成します。
アプリケーションに目的のアクセス許可を割り当てます (たとえば、"アラートの読み取り"、"マシンの分離" など)。
このアプリケーションのキーを作成します。
キーを使用してアプリケーションを使用してトークンを取得します。
トークンを使用してMicrosoft Defender for Endpoint API にアクセスする
詳細については、「 アプリケーション コンテキストを使用してアクセスを取得する」を参照してください。
ユーザー コンテキスト:
ユーザーの代わりに API でアクションを実行するために使用されます。
ユーザー コンテキストを使用して Defender for Endpoint API にアクセスするための手順:
Native-Application Microsoft Entra作成します。
"アラートの読み取り"、"マシンの分離" など、目的のアクセス許可をアプリケーションに割り当てます。
ユーザー資格情報を使用してアプリケーションを使用してトークンを取得します。
トークンを使用してMicrosoft Defender for Endpoint API にアクセスする
詳細については、「 ユーザー コンテキストを使用してアクセスを取得する」を参照してください。
ヒント
すべての結果を取得するために複数のクエリ要求が必要な場合、Microsoft Graph は、結果の次のページへの URL を含む応答に @odata.nextLink プロパティを返します。 詳細については、アプリで Microsoft Graph データをページングするを参照してください。