Delen via

Geavanceerde opsporing met behulp van Python

  • Artikel

Van toepassing op:

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Opmerking

Als u een klant van de Amerikaanse overheid bent, gebruikt u de URI's die worden vermeld in Microsoft Defender voor Eindpunt voor klanten van de Amerikaanse overheid.

Tip

Voor betere prestaties kunt u de server dichter bij uw geografische locatie gebruiken:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Geavanceerde query's uitvoeren met python, zie Geavanceerde opsporings-API.

In deze sectie delen we Python-voorbeelden om een token op te halen en gebruiken we dit om een query uit te voeren.

Vereiste: u moet eerst een app maken.

Token ophalen

  • Voer de volgende opdrachten uit:
import json
import urllib.request
import urllib.parse

tenantId = '00000000-0000-0000-0000-000000000000' # Paste your own tenant ID here
appId = '11111111-1111-1111-1111-111111111111' # Paste your own app ID here
appSecret = '22222222-2222-2222-2222-222222222222' # Paste your own app secret here

url = "https://login.microsoftonline.com/%s/oauth2/token" % (tenantId)

resourceAppIdUri = 'https://api.securitycenter.microsoft.com'

body = {
    'resource' : resourceAppIdUri,
    'client_id' : appId,
    'client_secret' : appSecret,
    'grant_type' : 'client_credentials'
}

data = urllib.parse.urlencode(body).encode("utf-8")

req = urllib.request.Request(url, data)
response = urllib.request.urlopen(req)
jsonResponse = json.loads(response.read())
aadToken = jsonResponse["access_token"]

Waar

  • tenantId: id van de tenant namens wie u de query wilt uitvoeren (de query wordt uitgevoerd op de gegevens van deze tenant)
  • appId: id van uw Microsoft Entra-app (de app moet de machtiging Geavanceerde query's uitvoeren hebben voor Microsoft Defender voor Eindpunt)
  • appSecret: geheim van uw Microsoft Entra-app

Query uitvoeren

Voer de volgende query uit:

query = 'DeviceRegistryEvents | limit 10' # Paste your own query here

url = "https://api.securitycenter.microsoft.com/api/advancedqueries/run"
headers = { 
    'Content-Type' : 'application/json',
    'Accept' : 'application/json',
    'Authorization' : "Bearer " + aadToken
}

data = json.dumps({ 'Query' : query }).encode("utf-8")

req = urllib.request.Request(url, data, headers)
response = urllib.request.urlopen(req)
jsonResponse = json.loads(response.read())
schema = jsonResponse["Schema"]
results = jsonResponse["Results"]
  • schema bevat het schema van de resultaten van uw query
  • resultaten bevatten de resultaten van uw query

Complexe query's

Als u complexe query's (of query's met meerdere regels) wilt uitvoeren, slaat u de query op in een bestand en voert u in plaats van de eerste regel in het bovenstaande voorbeeld de onderstaande opdracht uit:

queryFile = open("D:\\Temp\\myQuery.txt", 'r') # Replace with the path to your file
query = queryFile.read()
queryFile.close()

Werken met queryresultaten

U kunt nu de queryresultaten gebruiken.

Gebruik de volgende opdracht om de resultaten te herhalen:

for result in results:
    print(result) # Prints the whole result
    print(result["EventTime"]) # Prints only the property 'EventTime' from the result

Als u de resultaten van de query wilt uitvoeren in CSV-indeling in bestand file1.csv gebruikt u de volgende opdracht:

import csv

outputFile = open("D:\\Temp\\file1.csv", 'w')
output = csv.writer(outputFile)
output.writerow(results[0].keys())
for result in results:
    output.writerow(result.values())

outputFile.close()

Als u de resultaten van de query wilt uitvoeren in JSON-indeling in bestand file1.json gebruikt u de volgende opdracht:

outputFile = open("D:\\Temp\\file1.json", 'w')
json.dump(results, outputFile)
outputFile.close()

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.