ユーザーの代わりに Microsoft Defender XDR API にアクセスするアプリを作成する
適用対象:
- Microsoft Defender XDR
重要
一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
このページでは、1 人のユーザーに代わって Microsoft Defender XDR にプログラムでアクセスするためのアプリケーションを作成する方法について説明します。
ユーザーが定義されていない Microsoft Defender XDR へのプログラムによるアクセスが必要な場合 (たとえば、バックグラウンド アプリやデーモンを作成している場合)、「 ユーザーなしで Microsoft Defender XDR にアクセスするためのアプリの作成」を参照してください。 大規模な組織や顧客のグループにサービスを提供している場合など、複数のテナントにアクセスを提供する必要がある場合は、「 Microsoft Defender XDR API へのパートナー アクセス権を持つアプリを作成する」を参照してください。必要なアクセスの種類がわからない場合は、「 概要」を参照してください。
Microsoft Defender XDR は、一連のプログラム API を通じて、そのデータとアクションの多くを公開しています。 これらの API は、ワークフローを自動化し、Microsoft Defender XDR の機能を利用するのに役立ちます。 この API アクセスには OAuth2.0 認証が必要です。 詳細については、「 OAuth 2.0 承認コード フロー」を参照してください。
一般に、これらの API を使用するには、次の手順を実行する必要があります。
- Microsoft Entra アプリケーションを作成します。
- このアプリケーションを使用してアクセス トークンを取得します。
- トークンを使用して Microsoft Defender XDR API にアクセスします。
この記事では、次の方法について説明します。
- Microsoft Entra アプリケーションを作成する
- Microsoft Defender XDR へのアクセス トークンを取得する
- トークンを検証する
注:
ユーザーの代わりに Microsoft Defender XDR API にアクセスする場合は、適切なアプリケーションのアクセス許可とユーザーのアクセス許可が必要です。
ヒント
ポータルでアクションを実行するアクセス許可がある場合は、API でアクションを実行するアクセス許可があります。
アプリを作成する
グローバル管理者ロールを持つユーザーとして Azure にサインインします。
[Microsoft Entra ID>App registrations>新しい登録] に移動します。
![Azure portal の [管理] ウィンドウの [新しい登録] オプション](/ja-jp/defender/media/atp-azure-new-app2.png)
フォームで、アプリケーションの名前を選択し、リダイレクト URI の次の情報を入力し、[ 登録] を選択します。
- アプリケーションの種類: パブリック クライアント
- リダイレクト URI:https://portal.azure.com
アプリケーション ページで、[API のアクセス許可]>、[アクセス許可の追加>AP]、[組織で使用する API]、[Microsoft Threat Protection] の順に入力し>、「Microsoft Threat Protection」と入力し、[Microsoft Threat Protection] を選択します。 アプリが Microsoft Defender XDR にアクセスできるようになりました。
ヒント
Microsoft Threat Protection は Microsoft Defender XDR の以前の名前であり、元の一覧には表示されません。 テキスト ボックスに名前を書き込んで表示する必要があります。
![Microsoft Defender ポータルの [組織の API] ペイン](/ja-jp/defender/media/apis-in-my-org-tab.PNG)
[ 委任されたアクセス許可] を選択します。 シナリオに関連するアクセス許可 ( Incident.Read など) を選択し、[ アクセス許可の追加] を選択します。
![Microsoft Defender ポータルの [委任されたアクセス許可] ウィンドウ](/ja-jp/defender/media/request-api-permissions-delegated.PNG)
注:
シナリオに関連するアクセス許可を選択する必要があります。 すべてのインシデントの読み取り は単なる例です。 必要なアクセス許可を決定するには、呼び出す API の [アクセス許可 ] セクションを参照してください。
たとえば、 高度なクエリを実行するには、[高度なクエリの実行] アクセス許可を選択します。 デバイスを分離するには、"マシンの分離" アクセス許可を選択します。
[ 管理者の同意の付与] を選択します。 アクセス許可を追加するたびに、[管理者の同意を 付与 する] を選択して有効にする必要があります。
アプリケーション ID とテナント ID を安全な場所に記録します。 これらは、アプリケーション ページの [概要 ] の下に表示されます。
![Microsoft Defender ポータルの [概要] ウィンドウ](/ja-jp/defender/media/app-and-tenant-ids.png)
![Azure portal の [管理] ウィンドウの [新しい登録] オプション](/ja-jp/defender/media/atp-azure-new-app2.png#lightbox)
![Microsoft Defender ポータルの [組織の API] ペイン](/ja-jp/defender/media/apis-in-my-org-tab.PNG#lightbox)
![Microsoft Defender ポータルの [委任されたアクセス許可] ウィンドウ](/ja-jp/defender/media/request-api-permissions-delegated.PNG#lightbox)
![Microsoft Defender ポータルの [概要] ウィンドウ](/ja-jp/defender/media/app-and-tenant-ids.png#lightbox)
アクセス トークンを取得する
Microsoft Entra トークンの詳細については、 Microsoft Entra チュートリアルを参照してください。
PowerShell を使用してユーザーの代わりにアクセス トークンを取得する
MSAL.PS ライブラリを使用して、委任されたアクセス許可を持つアクセス トークンを取得します。 次のコマンドを実行して、ユーザーの代わりにアクセス トークンを取得します。
Install-Module -Name MSAL.PS # Install the MSAL.PS module from PowerShell Gallery
$TenantId = " " # Paste your directory (tenant) ID here.
$AppClientId="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" # Paste your application (client) ID here.
$MsalParams = @{
ClientId = $AppClientId
TenantId = $TenantId
Scopes = 'https://graph.microsoft.com/User.Read.All','https://graph.microsoft.com/Files.ReadWrite','https://api.securitycenter.windows.com/AdvancedQuery.Read'
}
$MsalResponse = Get-MsalToken @MsalParams
$AccessToken = $MsalResponse.AccessToken
$AccessToken # Display the token in PS console
トークンを検証する
- トークンをコピーして JWT に貼り付けてデコードします。
- デコードされたトークン内の ロール 要求に必要なアクセス許可が含まれていることを確認します。
次の図では、アプリから取得したデコードされたトークンを、 Incidents.Read.All、 Incidents.ReadWrite.All、 AdvancedHunting.Read.All のアクセス許可で確認できます。
![Microsoft Defender ポータルの [デコードされたトークン] ウィンドウの [アクセス許可] セクション](/ja-jp/defender/media/defender-endpoint/webapp-decoded-token.png#lightbox)
トークンを使用して Microsoft Defender XDR API にアクセスする
- 使用する API (インシデント、または高度なハンティング) を選択します。 詳細については、「 サポートされている Microsoft Defender XDR API」を参照してください。
- 送信しようとしている http 要求で、承認ヘッダーを
"Bearer" <token>に設定し、 Bearer を承認スキームに、 トークン を検証済みトークンに設定します。 - トークンは 1 時間以内に期限切れになります。 この間、同じトークンを使用して複数の要求を送信できます。
次の例は、 C# を使用してインシデントの一覧を取得する要求を送信する方法を示しています。
var httpClient = new HttpClient();
var request = new HttpRequestMessage(HttpMethod.Get, "https://api.security.microsoft.com/api/incidents");
request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);
var response = httpClient.SendAsync(request).GetAwaiter().GetResult();
関連記事
- Microsoft Defender XDR API の概要
- Microsoft Defender XDR API にアクセスする
- "Hello world" アプリを作成する
- ユーザーなしで Microsoft Defender XDR にアクセスするアプリを作成する
- Microsoft Defender XDR API へのマルチテナント パートナー アクセス権を持つアプリを作成する
- API の制限とライセンスについて説明します
- エラー コードについて
- ユーザー サインインと API アクセスに対する OAuth 2.0 承認
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示