Kullanıcı adına Microsoft Defender XDR API'lerine erişmek için uygulama oluşturma

Şunlar için geçerlidir:

• Microsoft Defender XDR

Önemli

Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanmış ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Bu sayfada, tek bir kullanıcı adına Microsoft Defender XDR'ye programlı erişim elde etmek için bir uygulamanın nasıl oluşturulacağı açıklanmaktadır.

Tanımlı bir kullanıcı olmadan Microsoft Defender XDR'ye programlı erişime ihtiyacınız varsa (örneğin, bir arka plan uygulaması veya daemon yazıyorsanız), bkz. Kullanıcı olmadan Microsoft Defender XDR'ye erişmek için uygulama oluşturma. Birden çok kiracıya erişim sağlamanız gerekiyorsa (örneğin, büyük bir kuruluşa veya müşteri grubuna hizmet veriyorsanız) bkz. Microsoft Defender XDR API'lerine iş ortağı erişimi olan bir uygulama oluşturma. Hangi tür erişime ihtiyacınız olduğundan emin değilseniz bkz. Kullanmaya başlama.

Microsoft Defender XDR, bir dizi programlı API aracılığıyla verilerinin ve eylemlerinin büyük bir kısmını kullanıma sunar. Bu API'ler iş akışlarını otomatikleştirmenize ve Microsoft Defender XDR'nin özelliklerinden yararlanmanıza yardımcı olur. Bu API erişimi için OAuth2.0 kimlik doğrulaması gerekir. Daha fazla bilgi için bkz . OAuth 2.0 Yetkilendirme Kodu Akışı.

Genel olarak, bu API'leri kullanmak için aşağıdaki adımları uygulamanız gerekir:

• Bir Microsoft Entra uygulaması oluşturun.
• Bu uygulamayı kullanarak erişim belirteci alın.
• Microsoft Defender XDR API'sine erişmek için belirteci kullanın.

Bu makalede şunların nasıl yapılacağını açıklar:

• Microsoft Entra uygulaması oluşturma
• Microsoft Defender XDR'ye erişim belirteci alma
• Belirteci doğrulama

Not

Kullanıcı adına Microsoft Defender XDR API'sine erişirken doğru uygulama izinlerine ve kullanıcı izinlerine ihtiyacınız olacaktır.

İpucu

Portalda bir eylem gerçekleştirme izniniz varsa, eylemi API'de gerçekleştirme izniniz vardır.

Uygulama oluşturma

1. Azure'da Genel Yönetici rolüyle kullanıcı olarak oturum açın.

2. Microsoft Entra Id>Uygulama kayıtları>Yeni kayıt'a gidin.

   

3. Formda, uygulamanız için bir ad seçin ve yeniden yönlendirme URI'sine ilişkin aşağıdaki bilgileri girin, ardından Kaydet'i seçin.

   

   • Uygulama türü: Genel istemci
   • Yeniden yönlendirme URI'si:https://portal.azure.com

4. Uygulama sayfanızda API İzinleriKuruluşumun kullandığı> izin > API'lerini >ekle'yiseçin, Microsoft Tehdit Koruması yazın ve Microsoft Tehdit Koruması'yı seçin. Uygulamanız artık Microsoft Defender XDR'ye erişebilir.

   İpucu

   Microsoft Tehdit Koruması , Microsoft Defender XDR için eski bir addır ve özgün listede görünmez. Görünmesini sağlamak için metin kutusuna adını yazmaya başlamanız gerekir.

   

   • Temsilci izinleri'ni seçin. Senaryonuz için uygun izinleri seçin (örneğin Incident.Read) ve ardından İzin ekle'yi seçin.

     

   Not

   Senaryonuz için ilgili izinleri seçmeniz gerekir. Tüm olayları okuma yalnızca bir örnektir. Hangi izne ihtiyacınız olduğunu belirlemek için lütfen çağırmak istediğiniz API'nin İzinler bölümüne bakın.

   Örneğin, gelişmiş sorgular çalıştırmak için 'Gelişmiş sorguları çalıştırma' iznini seçin; cihazı yalıtmak için 'Makineyi yalıt' iznini seçin.

5. Yönetici onayı ver'i seçin. Her izin eklediğinizde, geçerli olması için Yönetici onayı ver'i seçmeniz gerekir.

   

6. Uygulama kimliğinizi ve kiracı kimliğinizi güvenli bir yere kaydedin. Bunlar uygulama sayfanızda Genel Bakış altında listelenir.

   

Erişim belirteci alma

Microsoft Entra belirteçleri hakkında daha fazla bilgi için Bkz. Microsoft Entra öğreticisi.

PowerShell kullanarak kullanıcı adına erişim belirteci alma

Temsilci izinlerine sahip erişim belirteçleri almak için MSAL.PS kitaplığını kullanın. Kullanıcı adına erişim belirteci almak için aşağıdaki komutları çalıştırın:

Install-Module -Name MSAL.PS # Install the MSAL.PS module from PowerShell Gallery

$TenantId = " " # Paste your directory (tenant) ID here.
$AppClientId="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" # Paste your application (client) ID here.

$MsalParams = @{
   ClientId = $AppClientId
   TenantId = $TenantId
   Scopes   = 'https://graph.microsoft.com/User.Read.All','https://graph.microsoft.com/Files.ReadWrite','https://api.securitycenter.windows.com/AdvancedQuery.Read'
}

$MsalResponse = Get-MsalToken @MsalParams
$AccessToken  = $MsalResponse.AccessToken
 
$AccessToken # Display the token in PS console

Belirteci doğrulama

1. Kodunu çözmek için belirteci kopyalayıp JWT'ye yapıştırın.
2. Kodu çözülen belirteç içindeki rol talebi için istenen izinlerin bulunduğundan emin olun.

Aşağıdaki görüntüde, , Incidents.ReadWrite.Allve AdvancedHunting.Read.All izinleriyle Incidents.Read.Allbir uygulamadan alınan kodu çözülen belirteci görebilirsiniz:

Microsoft Defender XDR API'sine erişmek için belirteci kullanma

1. Kullanmak istediğiniz API'yi (olaylar veya gelişmiş avcılık) seçin. Daha fazla bilgi için bkz . Desteklenen Microsoft Defender XDR API'leri.
2. Göndermek üzere olduğunuz http isteğinde yetkilendirme üst bilgisini "Bearer" <token>olarak ayarlayın, taşıyıcı yetkilendirme şeması ve belirteç doğrulanmış belirtecinizdir.
3. Belirtecin süresi bir saat içinde dolar. Bu süre boyunca aynı belirteçle birden fazla istek gönderebilirsiniz.

Aşağıdaki örnekte , C# kullanarak olayların listesini almak için istek gönderme işlemleri gösterilmektedir.

    var httpClient = new HttpClient();
    var request = new HttpRequestMessage(HttpMethod.Get, "https://api.security.microsoft.com/api/incidents");

    request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);

    var response = httpClient.SendAsync(request).GetAwaiter().GetResult();

İlgili makaleler

• Microsoft Defender XDR API'lerine genel bakış
• Microsoft Defender XDR API'lerine erişme
• 'Merhaba dünya' uygulaması oluşturma
• Kullanıcı olmadan Microsoft Defender XDR'ye erişmek için uygulama oluşturma
• Microsoft Defender XDR API'lerine çok kiracılı iş ortağı erişimi olan bir uygulama oluşturma
• API sınırları ve lisanslama hakkında bilgi edinin
• Hata kodlarını anlama
• Kullanıcı oturum açma ve API erişimi için OAuth 2.0 yetkilendirmesi

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.