访问 Microsoft Defender for Endpoint API

适用于:

重要

高级搜寻功能不包括在 Defender for Business 中。

希望体验 Microsoft Defender for Endpoint? 注册免费试用版

Defender for Endpoint 通过一组编程 API 公开其大部分数据和操作。 这些 API 使你能够自动执行工作流,并根据 Defender for Endpoint 功能进行创新。 API 访问需要 OAuth2.0 身份验证。 有关详细信息,请参阅 OAuth 2.0 授权代码流

观看此视频,快速了解 Defender for Endpoint 的 API。

通常,需要执行以下步骤才能使用 API:

可以使用 应用程序上下文用户上下文访问 Defender for Endpoint API。

  • 应用程序上下文: (建议)

    供运行且没有登录用户的应用使用。 例如,作为后台服务或守护程序运行的应用。

    访问具有应用程序上下文的 Defender for Endpoint API 需要执行的步骤:

    1. Create Microsoft Entra Web 应用程序。

    2. 为应用程序分配所需的权限,例如“读取警报”、“隔离计算机”。

    3. Create此应用程序的密钥。

    4. 使用应用程序及其密钥获取令牌。

    5. 使用令牌访问Microsoft Defender for Endpoint API

      有关详细信息,请参阅 使用应用程序上下文获取访问权限

  • 用户上下文:

    用于代表用户执行 API 中的操作。

    使用用户上下文访问 Defender for Endpoint API 的步骤:

    1. Create Microsoft Entra Native-Application。

    2. 为应用程序分配所需的权限,例如“读取警报”、“隔离计算机”等。

    3. 使用具有用户凭据的应用程序获取令牌。

    4. 使用令牌访问Microsoft Defender for Endpoint API

      有关详细信息,请参阅 使用用户上下文获取访问权限

提示

当需要多个查询请求来检索所有结果时,Microsoft Graph 将在响应中返回一个 @odata.nextLink 属性,该属性包含指向下一页结果的 URL。 有关详细信息,请参阅在应用中对 Microsoft Graph 数据进行分页

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区