Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Obs!
Hvis du er us Government-kunde, kan du bruke URI-ene som er oppført i Microsoft Defender for endepunkt for US Government-kunder.
Tips
Hvis du vil ha bedre ytelse i stedet for å bruke api.security.microsoft.com, kan du bruke en server nærmere geolokasjonen:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
- aea.api.security.microsoft.com
Kjør avanserte spørringer ved hjelp av Python, se API for avansert jakt.
I denne delen deler vi Python-eksempler for å hente et token og bruke det til å kjøre en spørring.
Forutsetning: Du må først opprette en app.
Hent token
- Kjør følgende kommandoer:
import json
import urllib.request
import urllib.parse
tenantId = '00000000-0000-0000-0000-000000000000' # Paste your own tenant ID here
appId = '11111111-1111-1111-1111-111111111111' # Paste your own app ID here
appSecret = '22222222-2222-2222-2222-222222222222' # Paste your own app secret here
url = "https://login.microsoftonline.com/%s/oauth2/token" % (tenantId)
resourceAppIdUri = 'https://api.security.microsoft.com'
body = {
'resource' : resourceAppIdUri,
'client_id' : appId,
'client_secret' : appSecret,
'grant_type' : 'client_credentials'
}
data = urllib.parse.urlencode(body).encode("utf-8")
req = urllib.request.Request(url, data)
response = urllib.request.urlopen(req)
jsonResponse = json.loads(response.read())
aadToken = jsonResponse["access_token"]
Hvor:
-
tenantId: ID for leieren på vegne av den du vil kjøre spørringen for (det vil si at spørringen kjøres på dataene til denne leieren) -
appId: ID-en til Microsoft Entra-appen (appen må ha tillatelsen Kjør avanserte spørringer for å Microsoft Defender for endepunkt) -
appSecret: Hemmeligheten bak Microsoft Entra-appen
Kjør spørring
Kjør følgende spørring:
query = 'DeviceRegistryEvents | limit 10' # Paste your own query here
url = "https://api.security.microsoft.com/api/advancedqueries/run"
headers = {
'Content-Type' : 'application/json',
'Accept' : 'application/json',
'Authorization' : "Bearer " + aadToken
}
data = json.dumps({ 'Query' : query }).encode("utf-8")
req = urllib.request.Request(url, data, headers)
response = urllib.request.urlopen(req)
jsonResponse = json.loads(response.read())
schema = jsonResponse["Schema"]
results = jsonResponse["Results"]
- SKJEMAET inneholder skjemaet for resultatene av spørringen
- resultatene inneholder resultatene av spørringen
Komplekse spørringer
Hvis du vil kjøre komplekse spørringer (eller flerlinjede spørringer), lagrer du spørringen i en fil og kjører følgende kommando i stedet for den første linjen i forrige eksempel:
queryFile = open("D:\\Temp\\myQuery.txt", 'r') # Replace with the path to your file
query = queryFile.read()
queryFile.close()
Arbeide med spørringsresultater
Du kan nå bruke spørringsresultatene.
Hvis du vil gjenta resultatene, bruker du følgende kommando:
for result in results:
print(result) # Prints the whole result
print(result["EventTime"]) # Prints only the property 'EventTime' from the result
Hvis du vil sende resultatene av spørringen i CSV-format i file1.csv, bruker du følgende kommando:
import csv
outputFile = open("D:\\Temp\\file1.csv", 'w')
output = csv.writer(outputFile)
output.writerow(results[0].keys())
for result in results:
output.writerow(result.values())
outputFile.close()
Hvis du vil sende resultatene av spørringen i JSON-format i file1.json, bruker du følgende kommando:
outputFile = open("D:\\Temp\\file1.json", 'w')
json.dump(results, outputFile)
outputFile.close()
Relaterte artikler
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for endepunkt Tech Community.