Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Not
ABD Kamu müşterisiyseniz US Government müşterileri için Uç Nokta için Microsoft Defender'da listelenen URI'leri kullanın.
İpucu
Daha iyi performans için api.security.microsoft.com kullanmak yerine coğrafi konumunuza daha yakın bir sunucu kullanın:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
- aea.api.security.microsoft.com
PowerShell kullanarak gelişmiş sorgular çalıştırın. Daha fazla bilgi için bkz . Gelişmiş Tehdit Avcılığı API'si.
Bu bölümde, bir belirteci almak için PowerShell örneklerini paylaşacağız ve bunu kullanarak sorgu çalıştıracağız.
Başlamadan önce
Önce bir uygulama oluşturmanız gerekir.
Hazırlık yönergeleri
Bir PowerShell penceresi açın.
İlkeniz PowerShell komutlarını çalıştırmanıza izin vermiyorsa aşağıdaki komutu çalıştırabilirsiniz:
Set-ExecutionPolicy -ExecutionPolicy Bypass
Daha fazla bilgi için bkz. PowerShell belgeleri.
Belirteci alma
- Aşağıdakileri çalıştırın:
$tenantId = '00000000-0000-0000-0000-000000000000' # Paste your own tenant ID here
$appId = '11111111-1111-1111-1111-111111111111' # Paste your own app ID here
$appSecret = '22222222-2222-2222-2222-222222222222' # Paste your own app secret here
$resourceAppIdUri = 'https://api.securitycenter.microsoft.com'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/token"
$body = [Ordered] @{
resource = "$resourceAppIdUri"
client_id = "$appId"
client_secret = "$appSecret"
grant_type = 'client_credentials'
}
$response = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $body -ErrorAction Stop
$aadToken = $response.access_token
Konum:
- $tenantId: Sorguyu çalıştırmak istediğiniz kiracının kimliği (yani, sorgu bu kiracının verilerinde çalıştırılır)
- $appId: Microsoft Entra uygulamanızın kimliği (uygulamanın Uç Nokta için Defender'da 'Gelişmiş sorgu çalıştırma' izni olmalıdır)
- $appSecret: Microsoft Entra uygulamanızın gizli dizisi
Sorguyu çalıştırma
Aşağıdaki sorguyu çalıştırın:
$token = $aadToken
$query = 'DeviceRegistryEvents | limit 10' # Paste your own query here
$url = "https://api.security.microsoft.com/api/advancedqueries/run"
$headers = @{
'Content-Type' = 'application/json'
Accept = 'application/json'
Authorization = "Bearer $aadToken"
}
$body = ConvertTo-Json -InputObject @{ 'Query' = $query }
$webResponse = Invoke-WebRequest -Method Post -Uri $url -Headers $headers -Body $body -ErrorAction Stop
$response = $webResponse | ConvertFrom-Json
$results = $response.Results
$schema = $response.Schema
- $results sorgunuzun sonuçlarını içerir
- $schema sorgunuzun sonuçlarının şemasını içerir
Karmaşık sorgular
Karmaşık sorgular (veya çok satırlı sorgular) çalıştırmak istiyorsanız, sorgunuzu bir dosyaya kaydedin ve yukarıdaki örnekteki ilk satır yerine aşağıdaki komutu çalıştırın:
$query = [IO.File]::ReadAllText("C:\myQuery.txt"); # Replace with the path to your file
Sorgu sonuçlarıyla çalışın
Artık sorgu sonuçlarını kullanabilirsiniz.
Sorgunun sonuçlarını dosya file1.csv CSV biçiminde çıkarmak için aşağıdaki komutu çalıştırın:
$results | ConvertTo-Csv -NoTypeInformation | Set-Content C:\file1.csv
Sorgunun sonuçlarını dosya file1.json JSON biçiminde çıkarmak için aşağıdaki komutu çalıştırın:
$results | ConvertTo-Json | Set-Content file1.json
İlgili makaleler
- api'leri Uç Nokta için Microsoft Defender
- Gelişmiş Tehdit Avcılığı API'si
- Python ile Gelişmiş Avcılık
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.