Поделиться через

Расширенная охота с помощью PowerShell

  • Статья

Область применения:

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Примечание.

Если вы являетесь клиентом для государственных организаций США, используйте URI, перечисленные в Microsoft Defender для конечной точки для клиентов государственных организаций США.

Совет

Для повышения производительности можно использовать сервер ближе к географическому расположению:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Выполнение расширенных запросов с помощью PowerShell. Дополнительные сведения см. в статье Advanced Hunting API.

В этом разделе мы поделимся примерами PowerShell, чтобы получить маркер и использовать его для выполнения запроса.

Перед началом работы

Сначала необходимо создать приложение.

Инструкции по подготовке

  • Откройте окно PowerShell.

  • Если политика не позволяет выполнять команды PowerShell, можно выполнить следующую команду:

    Set-ExecutionPolicy -ExecutionPolicy Bypass

Дополнительные сведения см. в документации по PowerShell.

Получение маркера

  • Выполните следующую команду:
$tenantId = '00000000-0000-0000-0000-000000000000' # Paste your own tenant ID here
$appId = '11111111-1111-1111-1111-111111111111' # Paste your own app ID here
$appSecret = '22222222-2222-2222-2222-222222222222' # Paste your own app secret here

$resourceAppIdUri = 'https://api.securitycenter.microsoft.com'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/token"
$body = [Ordered] @{
    resource = "$resourceAppIdUri"
    client_id = "$appId"
    client_secret = "$appSecret"
    grant_type = 'client_credentials'
}
$response = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $body -ErrorAction Stop
$aadToken = $response.access_token

Где

  • $tenantId: идентификатор клиента, от имени которого требуется выполнить запрос (то есть запрос выполняется на данных этого клиента).
  • $appId: идентификатор приложения Microsoft Entra (приложение должно иметь разрешение "Выполнение расширенных запросов" для Defender для конечной точки).
  • $appSecret: секрет приложения Microsoft Entra

Выполнить запрос

Выполните следующий запрос:

$token = $aadToken
$query = 'DeviceRegistryEvents | limit 10' # Paste your own query here

$url = "https://api.securitycenter.microsoft.com/api/advancedhunting/run"
$headers = @{ 
    'Content-Type' = 'application/json'
    Accept = 'application/json'
    Authorization = "Bearer $aadToken" 
}
$body = ConvertTo-Json -InputObject @{ 'Query' = $query }
$webResponse = Invoke-WebRequest -Method Post -Uri $url -Headers $headers -Body $body -ErrorAction Stop
$response =  $webResponse | ConvertFrom-Json
$results = $response.Results
$schema = $response.Schema
  • $results содержат результаты запроса
  • $schema содержит схему результатов запроса.

Сложные запросы

Если вы хотите выполнять сложные запросы (или многостроковые запросы), сохраните запрос в файле и вместо первой строки в приведенном выше примере выполните следующую команду:

$query = [IO.File]::ReadAllText("C:\myQuery.txt"); # Replace with the path to your file

Работа с результатами запросов

Теперь можно использовать результаты запроса.

Чтобы вывести результаты запроса в формате CSV в file1.csv файла, выполните следующую команду:

$results | ConvertTo-Csv -NoTypeInformation | Set-Content C:\file1.csv

Чтобы вывести результаты запроса в формате JSON в file1.json файла, выполните следующую команду:

$results | ConvertTo-Json | Set-Content file1.json

Связанная статья

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.