Microsoft Defender for Cloud Apps 支援Microsoft 圖形 API,可用來使用探索到的雲端應用程式,以自定義和自動化 Microsoft Defender 入口網站中的 [探索到的應用程式] 頁面功能。
本文提供一般用途使用 uploadedStreams API 的 範例程式。
必要條件
開始使用 圖形 API 之前,請務必建立應用程式並取得存取令牌以使用應用程式。 然後,使用令牌來存取 Defender for Cloud Apps API。
請務必授與應用程式存取 Defender for Cloud Apps 的許可權,方法是將許可權和系統管理員同意授與
CloudApp-Discovery.Read.All應用程式。記下您的應用程式秘密,並複製其值以供稍後在腳本中使用。
您需要將雲端應用程式資料串流至 Microsoft Defender for Cloud Apps。
如需詳細資訊,請參閱:
取得探索到之應用程式的相關數據
若要取得 [探索到的 應用程式 ] 頁面上所有可用數據的高階摘要,請執行下列 GET 命令:
GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams
若要向下切入至特定資料流的數據:
從上一個命令的輸出複製相關
<streamID>值。使用
<streamID>值執行下列 GET 命令:GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<streamId>/aggregatedAppsDetails(period=duration'P90D')
篩選特定時間週期和風險分數
使用 $select 和 $filter 篩選您的 API 命令,以取得特定時段和風險分數的數據。 例如,若要檢視過去 30 天內探索到且風險分數較低或等於 4 的所有應用程式名稱,請執行:
GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<streamId>/aggregatedAppsDetails (period=duration'P30D')?$filter=riskRating le 4 &$select=displayName
使用特定應用程式取得所有使用者、裝置或IP位址的userIdentifier
請執行下列其中一個命令,識別目前使用特定應用程式的使用者、裝置或IP位址:
若要傳回使用者:
GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<streamId>/aggregatedAppsDetails (period=duration'P30D')/ <id>/users若要傳回IP位址:
GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<streamId>/aggregatedAppsDetails (period=duration'P30D')/ <id>/ipAddress若要傳回裝置:
GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<streamId>/aggregatedAppsDetails (period=duration'P30D')/ <id>/name
使用篩選條件依類別查看應用程式
使用篩選條件來查看特定類別的應用程式,例如 分類為 Marketing 且也不符合 HIPPA 規範的應用程式。 例如,執行:
GET https://graph.microsoft.com/beta/security/dataDiscovery/cloudAppDiscovery/uploadedStreams/<MDEstreamId>/aggregatedAppsDetails (period=duration 'P30D')?$filter= (appInfo/Hippa eq 'false') and category eq 'Marketing'
相關內容
如需詳細資訊,請參閱使用探索到的應用程式和Microsoft 圖形 API 參考。