Korzystanie z usługi Microsoft Defender dla interfejsów API punktu końcowego
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender dla Firm
Ważna
Zaawansowane możliwości wyszukiwania zagrożeń nie są uwzględniane w usłudze Defender dla firm.
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Uwaga
Jeśli jesteś klientem rządowym USA, użyj identyfikatorów URI wymienionych w usłudze Microsoft Defender for Endpoint dla klientów rządowych USA.
Porada
Aby uzyskać lepszą wydajność, możesz użyć serwera bliżej lokalizacji geograficznej:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
Na tej stronie opisano sposób tworzenia aplikacji w celu uzyskania dostępu programowego do usługi Defender for Endpoint w imieniu użytkownika.
Jeśli potrzebujesz dostępu programowego do usługi Microsoft Defender for Endpoint bez użytkownika, zapoznaj się z artykułem Access Microsoft Defender for Endpoint with application context (Uzyskiwanie dostępu do usługi Microsoft Defender dla punktu końcowego przy użyciu kontekstu aplikacji).
Jeśli nie masz pewności, jakiego dostępu potrzebujesz, przeczytaj stronę Wprowadzenie.
Usługa Microsoft Defender dla punktu końcowego uwidacznia wiele swoich danych i akcji za pośrednictwem zestawu programowych interfejsów API. Te interfejsy API umożliwiają automatyzację przepływów roboczych i wprowadzanie innowacji w oparciu o możliwości usługi Microsoft Defender for Endpoint. Dostęp do interfejsu API wymaga uwierzytelniania OAuth2.0. Aby uzyskać więcej informacji, zobacz Przepływ kodu autoryzacji OAuth 2.0.
Ogólnie rzecz biorąc, należy wykonać następujące kroki, aby korzystać z interfejsów API:
- Tworzenie aplikacji Microsoft Entra
- Uzyskiwanie tokenu dostępu przy użyciu tej aplikacji
- Uzyskiwanie dostępu do interfejsu API usługi Defender for Endpoint przy użyciu tokenu
Na tej stronie wyjaśniono, jak utworzyć aplikację Microsoft Entra, uzyskać token dostępu do usługi Microsoft Defender for Endpoint i zweryfikować token.
Uwaga
Podczas uzyskiwania dostępu do interfejsu API usługi Microsoft Defender dla punktu końcowego w imieniu użytkownika potrzebne są odpowiednie uprawnienia aplikacji i uprawnienia użytkownika. Jeśli nie znasz uprawnień użytkownika w usłudze Microsoft Defender for Endpoint, zobacz Zarządzanie dostępem do portalu przy użyciu kontroli dostępu opartej na rolach.
Porada
Jeśli masz uprawnienia do wykonywania akcji w portalu, masz uprawnienia do wykonywania akcji w interfejsie API.
Tworzenie aplikacji
Zaloguj się do witryny Azure Portal.
Przejdź do obszaruRejestracje> aplikacji Microsoft Entra ID>Nowa rejestracja.
Po wyświetleniu strony Rejestrowanie aplikacji wprowadź informacje o rejestracji aplikacji:
Nazwa — wprowadź zrozumiałą nazwę aplikacji wyświetlaną użytkownikom aplikacji.
Obsługiwane typy kont — wybierz konta, które chcesz obsługiwać w aplikacji.
Obsługiwane typy kont Opis Konta tylko w tym katalogu organizacyjnym Wybierz tę opcję, jeśli tworzysz aplikację biznesową (LOB). Ta opcja nie jest dostępna, jeśli nie rejestrujesz aplikacji w katalogu.
Ta opcja jest mapowana na jedną dzierżawę tylko w usłudze Microsoft Entra.
Ta opcja jest opcją domyślną, chyba że rejestrujesz aplikację poza katalogiem. W przypadkach, gdy aplikacja jest zarejestrowana poza katalogiem, domyślnym ustawieniem jest wielodostępne i osobiste konta Microsoft w usłudze Microsoft Entra.Konta w dowolnym katalogu organizacyjnym Wybierz tę opcję, jeśli chcesz kierować dane do wszystkich klientów biznesowych i edukacyjnych.
Ta opcja jest mapowana na wielodostępną obsługę tylko usługi Microsoft Entra.
Jeśli aplikacja została zarejestrowana jako pojedyncza dzierżawa tylko w usłudze Microsoft Entra, możesz ją zaktualizować tak, aby była wielodostępna w usłudze Microsoft Entra i z powrotem do jednej dzierżawy za pośrednictwem bloku Uwierzytelnianie .Konta w dowolnym katalogu organizacyjnym i osobistych kontach Microsoft Wybierz tę opcję, aby kierować dane do najszerszego zestawu klientów.
Ta opcja jest mapowana na wielodostępne i osobiste konta Microsoft w usłudze Microsoft Entra.
Jeśli aplikacja została zarejestrowana jako wielodostępne i osobiste konta Microsoft w usłudze Microsoft Entra, nie możesz tego zmienić w interfejsie użytkownika. Zamiast tego należy użyć edytora manifestu aplikacji, aby zmienić obsługiwane typy kont.Identyfikator URI przekierowania (opcjonalnie) — wybierz typ aplikacji, którą tworzysz, klienta internetowego lub publicznego (mobile & desktop), a następnie wprowadź identyfikator URI przekierowania (lub adres URL odpowiedzi) dla aplikacji.
W przypadku aplikacji internetowych podaj podstawowy adres URL aplikacji. Może to być na przykład
http://localhost:31544adres URL aplikacji internetowej działającej na komputerze lokalnym. Użytkownicy będą używać tego adresu URL do logowania się do aplikacji klienckiej sieci Web.W przypadku publicznych aplikacji klienckich podaj identyfikator URI używany przez identyfikator Entra firmy Microsoft do zwracania odpowiedzi tokenu. Wprowadź wartość specyficzną dla aplikacji, taką jak
myapp://auth.
Aby wyświetlić konkretne przykłady aplikacji internetowych lub aplikacji natywnych, zapoznaj się z naszymi przewodnikami Szybki start.
Po zakończeniu wybierz pozycję Zarejestruj.
Zezwalaj aplikacji na dostęp do usługi Microsoft Defender dla punktu końcowego i przypisz jej uprawnienie "Odczyt alertów":
Na stronie aplikacji wybierz pozycję Uprawnienia interfejsu API Dodaj interfejsy> APIuprawnień>,których moja organizacja używa> typu WindowsDefenderATP i wybierz pozycję WindowsDefenderATP.
Uwaga
WindowsDefenderATP nie jest wyświetlany na oryginalnej liście. Zacznij pisać jego nazwę w polu tekstowym, aby zobaczyć, jak jest wyświetlana.
Wybierz pozycję Uprawnienia delegowane>Alert.Przeczytaj> wybierz pozycję Dodaj uprawnienia.
Ważna
Wybierz odpowiednie uprawnienia. Alerty odczytu to tylko przykład.
Przykład:
Aby uruchomić zaawansowane zapytania, wybierz pozycję Uruchom zaawansowane zapytania uprawnienie .
Aby wyizolować urządzenie, wybierz pozycję Izolowanie uprawnień maszyny .
Aby określić, którego uprawnienia potrzebujesz, zapoznaj się z sekcją Uprawnienia w interfejsie API, który chcesz wywołać.
Wybierz pozycję Udziel zgody.
Uwaga
Za każdym razem, gdy dodasz uprawnienie, musisz wybrać pozycję Udziel zgody , aby nowe uprawnienie weszło w życie.
Zapisz identyfikator aplikacji i identyfikator dzierżawy.
Na stronie aplikacji przejdź do pozycji Przegląd i skopiuj następujące informacje:
Uzyskiwanie tokenu dostępu
Aby uzyskać więcej informacji na temat tokenów usługi Microsoft Entra, zobacz samouczek dotyczący usługi Microsoft Entra.
Korzystanie z języka C#
Skopiuj/wklej poniższą klasę w aplikacji.
Użyj metody AcquireUserTokenAsync z identyfikatorem aplikacji, identyfikatorem dzierżawy, nazwą użytkownika i hasłem, aby uzyskać token.
namespace WindowsDefenderATP { using System.Net.Http; using System.Text; using System.Threading.Tasks; using Newtonsoft.Json.Linq; public static class WindowsDefenderATPUtils { private const string Authority = "https://login.microsoftonline.com"; private const string WdatpResourceId = "https://api.securitycenter.microsoft.com"; public static async Task<string> AcquireUserTokenAsync(string username, string password, string appId, string tenantId) { using (var httpClient = new HttpClient()) { var urlEncodedBody = $"resource={WdatpResourceId}&client_id={appId}&grant_type=password&username={username}&password={password}"; var stringContent = new StringContent(urlEncodedBody, Encoding.UTF8, "application/x-www-form-urlencoded"); using (var response = await httpClient.PostAsync($"{Authority}/{tenantId}/oauth2/token", stringContent).ConfigureAwait(false)) { response.EnsureSuccessStatusCode(); var json = await response.Content.ReadAsStringAsync().ConfigureAwait(false); var jObject = JObject.Parse(json); return jObject["access_token"].Value<string>(); } } } } }
Weryfikowanie tokenu
Sprawdź, czy masz prawidłowy token:
Skopiuj/wklej do narzędzia JWT token uzyskany w poprzednim kroku, aby go odkodować.
Sprawdź, czy otrzymasz oświadczenie "scp" z odpowiednimi uprawnieniami aplikacji.
Na poniższym zrzucie ekranu widać dekodowany token uzyskany z aplikacji w samouczku:
Uzyskiwanie dostępu do interfejsu API usługi Microsoft Defender for Endpoint przy użyciu tokenu
Wybierz interfejs API, którego chcesz użyć — obsługiwana usługa Microsoft Defender dla interfejsów API punktu końcowego.
Ustaw nagłówek autoryzacji w żądaniu HTTP wysyłanym do elementu "Bearer {token}" (element nośny jest schematem autoryzacji).
Czas wygaśnięcia tokenu wynosi 1 godzinę (możesz wysłać więcej niż jedno żądanie z tym samym tokenem).
Przykład wysyłania żądania uzyskania listy alertów przy użyciu języka C#:
var httpClient = new HttpClient(); var request = new HttpRequestMessage(HttpMethod.Get, "https://api.securitycenter.microsoft.com/api/alerts"); request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token); var response = httpClient.SendAsync(request).GetAwaiter().GetResult(); // Do something useful with the response
Zobacz też
- Interfejsy API usługi Microsoft Defender dla punktów końcowych
- Uzyskiwanie dostępu do usługi Microsoft Defender dla punktu końcowego za pomocą kontekstu aplikacji
Porada
Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla