Kullanıcı olmadan Uç Nokta için Microsoft Defender erişmek için bir uygulama İçerik Oluşturucu

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 1
• Uç Nokta için Microsoft Defender Planı 2
• İş için Microsoft Defender

Önemli

Gelişmiş avcılık özellikleri İş için Defender'a dahil değildir.

Uç Nokta için Microsoft Defender'ı deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Not

ABD Kamu müşterisiyseniz lütfen US Government müşterileri için Uç Nokta için Microsoft Defender'de listelenen URI'leri kullanın.

İpucu

Daha iyi performans için coğrafi konumunuza daha yakın olan sunucuyu kullanabilirsiniz:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com

Bu sayfada, kullanıcı olmadan Uç Nokta için Defender'a programlı erişim elde etmek için bir uygulamanın nasıl oluşturulacağı açıklanır. Kullanıcı adına Uç Nokta için Defender'a programlı erişime ihtiyacınız varsa bkz. Kullanıcı bağlamıyla erişim alma. Hangi erişime ihtiyacınız olduğundan emin değilseniz bkz. Kullanmaya başlama.

Uç Nokta için Microsoft Defender, bir dizi programlı API aracılığıyla verilerinin ve eylemlerinin büyük bir kısmını kullanıma sunar. Bu API'ler iş akışlarını otomatikleştirmenize ve Uç Nokta için Defender özelliklerine göre yenilik yapmaya yardımcı olur. API erişimi için OAuth2.0 kimlik doğrulaması gerekir. Daha fazla bilgi için bkz . OAuth 2.0 Yetkilendirme Kodu Akışı.

Genel olarak, API'leri kullanmak için aşağıdaki adımları uygulamanız gerekir:

• Microsoft Entra bir uygulama İçerik Oluşturucu.
• Bu uygulamayı kullanarak erişim belirteci alın.
• Uç Nokta için Defender API'sine erişmek için belirteci kullanın.

Bu makalede bir Microsoft Entra uygulaması oluşturma, Uç Nokta için Microsoft Defender erişim belirteci alma ve belirteci doğrulama açıklanmaktadır.

Uygulama İçerik Oluşturucu

1. Genel Yönetici rolüne sahip bir kullanıcıyla Azure'da oturum açın.

2. Microsoft Entra ID>Uygulama kayıtları>Yeni kayıt'a gidin.

   

3. Kayıt formunda, uygulamanız için bir ad seçin ve ardından Kaydet'i seçin.

4. Uygulamanızın Uç Nokta için Defender'a erişmesini ve 'Tüm uyarıları okuma' izni atamasını sağlamak için uygulama sayfanızda API İzinleriKuruluşumun kullandığı> izin > API'leri >ekle'yiseçin, WindowsDefenderATP yazın ve ardından WindowsDefenderATP'yi seçin.

   Not

   WindowsDefenderATP özgün listede görünmez. Görünmesini görmek için metin kutusuna adını yazmaya başlayın.

   

   Uygulama izinleri>Alert.Read.All öğesini ve ardından İzin ekle'yi seçin.

   

   İlgili izinleri seçmeniz gerekir. 'Tüm Uyarıları Oku' yalnızca bir örnektir. Örneğin:

   • Gelişmiş sorguları çalıştırmak için 'Gelişmiş sorguları çalıştırma' iznini seçin.
   • Bir cihazı yalıtmak için 'Makineyi yalıtma' iznini seçin.
   • Hangi izne ihtiyacınız olduğunu belirlemek için çağırmak istediğiniz API'nin İzinler bölümüne bakın.

5. İzin ver'i seçin.

   Not

   Her izin eklediğinizde, yeni iznin geçerli olması için Onay ver'i seçmeniz gerekir.

   

6. Uygulamaya gizli dizi eklemek için Sertifikalar & gizli dizileri seçin, gizli diziye bir açıklama ekleyin ve ardından Ekle'yi seçin.

   Not

   Ekle'yi seçtikten sonra oluşturulan gizli dizi değerini kopyala'yı seçin. Ayrıldıktan sonra bu değeri alamazsınız.

   

7. Uygulama kimliğinizi ve kiracı kimliğinizi not edin. Uygulama sayfanızda Genel Bakış'a gidin ve aşağıdakileri kopyalayın.

   

8. Yalnızca Uç Nokta için Microsoft Defender İş Ortakları için. Uygulamanızı çok kiracılı olacak şekilde ayarlayın (onaydan sonra tüm kiracılarda kullanılabilir). Bu, üçüncü taraf uygulamalar için gereklidir (örneğin, birden çok müşterinin kiracısında çalıştırılması amaçlanan bir uygulama oluşturursanız). Yalnızca kiracınızda çalıştırmak istediğiniz bir hizmet oluşturursanız (örneğin, kendi kullanımınız için yalnızca kendi verilerinizle etkileşim kuracak bir uygulama oluşturursanız) bu gerekli değildir . Uygulamanızı çok kiracılı olarak ayarlamak için:

   • Kimlik Doğrulaması'na gidin ve Yeniden Yönlendirme URI'sini ekleyinhttps://portal.azure.com.

   • Sayfanın en altındaki Desteklenen hesap türleri'nin altında, çok kiracılı uygulamanız için herhangi bir kuruluş dizini uygulamasındaki hesaplar onayını seçin.

   Uygulamanızı kullanmak istediğiniz her kiracıda onaylanması gerekir. Bunun nedeni, uygulamanızın müşteriniz adına Uç Nokta için Defender ile etkileşim kurmasıdır.

   Sizin (veya üçüncü taraf bir uygulama yazıyorsanız müşterinizin) onay bağlantısını seçip uygulamanızı onaylamanız gerekir. Onay, Active Directory'de yönetici ayrıcalıklarına sahip bir kullanıcıyla yapılmalıdır.

   Onay bağlantısı aşağıdaki gibi oluşturulur:

   https://login.microsoftonline.com/common/oauth2/authorize?prompt=consent&client_id=00000000-0000-0000-0000-000000000000&response_type=code&sso_reload=true
   

   Burada 000000000-0000-0000-0000-0000000000000000 yerine uygulama kimliğiniz eklenir.

Bitti! Bir uygulamayı başarıyla kaydettiniz! Belirteç alma ve doğrulama için aşağıdaki örneklere bakın.

Erişim belirteci alma

Microsoft Entra belirteçleri hakkında daha fazla bilgi için Microsoft Entra öğreticisine bakın.

PowerShell kullanma

# This script acquires the App Context Token and stores it in the variable $token for later use in the script.
# Paste your Tenant ID, App ID, and App Secret (App key) into the indicated quotes below.

$tenantId = '' ### Paste your tenant ID here
$appId = '' ### Paste your Application ID here
$appSecret = '' ### Paste your Application key here

$sourceAppIdUri = 'https://api.securitycenter.microsoft.com/.default'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/v2.0/token"
$authBody = [Ordered] @{
    scope = "$sourceAppIdUri"
    client_id = "$appId"
    client_secret = "$appSecret"
    grant_type = 'client_credentials'
}
$authResponse = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $authBody -ErrorAction Stop
$token = $authResponse.access_token
$token

C# kullanın:

Aşağıdaki kod NuGet Microsoft.Identity.Client 3.19.8 ile test edilmiştir.

Önemli

Microsoft.IdentityModel.Clients.ActiveDirectory NuGet paketi ve Azure AD Kimlik Doğrulama Kitaplığı (ADAL) kullanım dışı bırakıldı. 30 Haziran 2020'den bu yana yeni özellik eklenmemiş. Yükseltmenizi kesinlikle öneririz. Diğer ayrıntılar için geçiş kılavuzuna bakın.

1. Yeni bir konsol uygulaması İçerik Oluşturucu.

2. NuGet Microsoft.Identity.Client'ı yükleyin.

3. Aşağıdakileri ekleyin:

   using Microsoft.Identity.Client;
   

4. Aşağıdaki kodu kopyalayıp uygulamanıza yapıştırın (üç değişkeni güncelleştirmeyi unutmayın: tenantId, appId, appSecret):

   string tenantId = "00000000-0000-0000-0000-000000000000"; // Paste your own tenant ID here
   string appId = "11111111-1111-1111-1111-111111111111"; // Paste your own app ID here
   string appSecret = "22222222-2222-2222-2222-222222222222"; // Paste your own app secret here for a test, and then store it in a safe place! 
   const string authority = "https://login.microsoftonline.com";
   const string audience = "https://api.securitycenter.microsoft.com";
   
   IConfidentialClientApplication myApp = ConfidentialClientApplicationBuilder.Create(appId).WithClientSecret(appSecret).WithAuthority($"{authority}/{tenantId}").Build();
   
   List<string> scopes = new List<string>() { $"{audience}/.default" };
   
   AuthenticationResult authResult = myApp.AcquireTokenForClient(scopes).ExecuteAsync().GetAwaiter().GetResult();
   
   string token = authResult.AccessToken;
   

Python kullanma

Bkz. Python kullanarak belirteç alma.

Curl kullanma

Not

Aşağıdaki yordamda, Windows için Curl'un bilgisayarınızda zaten yüklü olduğu varsayılır.

1. Bir komut istemi açın ve CLIENT_ID Azure uygulama kimliğiniz olarak ayarlayın.

2. CLIENT_SECRET Azure uygulama gizli dizinize ayarlayın.

3. Uç Nokta için Defender'a erişmek için uygulamanızı kullanmak isteyen müşterinin Azure kiracı kimliğine TENANT_ID ayarlayın.

4. Aşağıdaki komutu çalıştırın:

   curl -i -X POST -H "Content-Type:application/x-www-form-urlencoded" -d "grant_type=client_credentials" -d "client_id=%CLIENT_ID%" -d "scope=https://securitycenter.onmicrosoft.com/windowsatpservice/.default" -d "client_secret=%CLIENT_SECRET%" "https://login.microsoftonline.com/%TENANT_ID%/oauth2/v2.0/token" -k
   

   Aşağıdaki biçimde bir yanıt alırsınız:

   {"token_type":"Bearer","expires_in":3599,"ext_expires_in":0,"access_token":"eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIn <truncated> aWReH7P0s0tjTBX8wGWqJUdDA"}
   

Belirteci doğrulama

Doğru belirteci aldığınızdan emin olun:

1. Kodunu çözmek için önceki adımda aldığınız belirteci kopyalayıp JWT'ye yapıştırın.

2. İstenen izinlere sahip bir 'roller' talebi aldığınızdan doğrulayın.

   Aşağıdaki görüntüde, Uç Nokta için Microsoft Defender rollerinin tümüne izinlere sahip bir uygulamadan alınan kodu çözülen belirteci görebilirsiniz:

   

Uç Nokta için Microsoft Defender API'ye erişmek için belirteci kullanma

1. Kullanmak istediğiniz API'yi seçin. Daha fazla bilgi için bkz . Uç Nokta API'leri için Desteklenen Defender.
2. "Taşıyıcı {token}" adresine gönderdiğiniz http isteğinde yetkilendirme üst bilgisini ayarlayın (Taşıyıcı, yetkilendirme şemasıdır).
3. Belirtecin süre sonu bir saattir. Aynı belirteçle birden fazla istek gönderebilirsiniz.

Aşağıda , C# kullanarak uyarıların listesini almak için istek gönderme örneği verilmiştir:

var httpClient = new HttpClient();

var request = new HttpRequestMessage(HttpMethod.Get, "https://api.securitycenter.microsoft.com/api/alerts");

request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);

var response = httpClient.SendAsync(request).GetAwaiter().GetResult();

// Do something useful with the response

Ayrıca bkz.

• Desteklenen Uç Nokta için Microsoft Defender API'leri
• Kullanıcı adına erişim Uç Nokta için Microsoft Defender

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.