Megosztás a következőn keresztül:

Alkalmazás létrehozása Microsoft Defender XDR API-k felhasználó nevében való eléréséhez

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR

Fontos

Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

Ez az oldal bemutatja, hogyan hozhat létre alkalmazásokat, hogy programozott hozzáférést kapjon Microsoft Defender XDR egyetlen felhasználó nevében.

Ha meghatározott felhasználó nélküli Microsoft Defender XDR programozott hozzáférésre van szüksége (például háttéralkalmazás vagy démon írásakor), olvassa el az Alkalmazás létrehozása Microsoft Defender XDR felhasználó nélküli eléréséhez című témakört. Ha több bérlőnek kell hozzáférést biztosítania – például egy nagy szervezetnek vagy egy ügyfélcsoportnak –, olvassa el az Alkalmazás létrehozása partneri hozzáféréssel Microsoft Defender XDR API-khoz című témakört. Ha nem tudja biztosan, hogy milyen típusú hozzáférésre van szüksége, olvassa el az Első lépések című témakört.

Microsoft Defender XDR az adatok és műveletek nagy részét programozott API-k segítségével teszi elérhetővé. Ezek az API-k segítenek automatizálni a munkafolyamatokat, és kihasználni Microsoft Defender XDR képességeit. Ehhez az API-hozzáféréshez OAuth2.0-hitelesítés szükséges. További információ: OAuth 2.0 engedélyezési kódfolyamat.

Ezeknek az API-knak a használatához általában a következő lépéseket kell elvégeznie:

  • Hozzon létre egy Microsoft Entra alkalmazást.
  • Hozzáférési jogkivonat lekérése ezzel az alkalmazással.
  • A jogkivonattal érheti el Microsoft Defender XDR API-t.

Ez a cikk a következő lépéseket ismerteti:

  • Microsoft Entra-alkalmazás létrehozása
  • Hozzáférési jogkivonat lekérése a Microsoft Defender XDR
  • A jogkivonat ellenőrzése

Megjegyzés:

Ha egy felhasználó nevében fér hozzá Microsoft Defender XDR API-hoz, a megfelelő alkalmazásengedélyekre és felhasználói engedélyekre lesz szüksége.

Tipp

Ha rendelkezik engedéllyel egy művelet végrehajtásához a portálon, akkor rendelkezik a művelet API-ban való végrehajtásához szükséges engedéllyel. A szerepkörökkel és engedélyekkel kapcsolatos további információkért lásd: A Microsoft Defender XDR hozzáférésének kezelése Microsoft Entra globális szerepkörökkel.

Alkalmazás létrehozása

  1. Jelentkezzen be az Azure-ba.

  2. Lépjen a Microsoft Entra ID>Alkalmazásregisztrációk>Új regisztráció elemre.

    Az Új regisztráció lehetőség a kezelés panelen a Azure Portal

  3. Az űrlapon válasszon egy nevet az alkalmazásnak, és adja meg a következő adatokat az átirányítási URI-hoz, majd válassza a Regisztráció lehetőséget.

    Az alkalmazásregisztráció panelje a Azure Portal

  4. Az alkalmazás oldalán válassza az API-engedélyek>Engedély hozzáadása>API-kat>, írja be a Microsoft Threat Protection kifejezést, majd válassza a Microsoft Threat Protection lehetőséget. Az alkalmazás most már hozzáférhet Microsoft Defender XDR.

    Tipp

    A Microsoft Threat Protection a Microsoft Defender XDR korábbi neve, és nem jelenik meg az eredeti listában. A megjelenítendő szövegmezőbe be kell írnia a nevét.

    A szervezet API-k panelje a Microsoft Defender portálon

    • Válassza a Delegált engedélyek lehetőséget. Válassza ki a forgatókönyv megfelelő engedélyeit (például Incident.Read), majd válassza az Engedélyek hozzáadása lehetőséget.

      A Delegált engedélyek panel a Microsoft Defender portálon

    Megjegyzés:

    Ki kell választania a forgatókönyvéhez tartozó megfelelő engedélyeket. Az összes incidens elolvasása csak egy példa. Annak megállapításához, hogy melyik engedélyre van szüksége, tekintse meg a meghívni kívánt API Engedélyek szakaszát.

    Speciális lekérdezések futtatásához például válassza a "Speciális lekérdezések futtatása" engedélyt; az eszköz elkülönítéséhez válassza a "Gép elkülönítése" engedélyt.

  5. Válassza a Rendszergazdai hozzájárulás megadása lehetőséget. Minden alkalommal, amikor hozzáad egy engedélyt, a rendszergazdai hozzájárulás megadása lehetőséget kell választania ahhoz, hogy érvénybe lépjen.

    A rendszergazdai hozzájárulás megadásának panelje a Microsoft Defender portálon

  6. Jegyezze fel az alkalmazásazonosítót és a bérlőazonosítót biztonságos helyen. Ezek az alkalmazásoldal Áttekintés területén jelennek meg.

    Az Áttekintés panel a Microsoft Defender portálon

Hozzáférési jogkivonat lekérése

A Microsoft Entra tokenekről az Microsoft Entra oktatóanyagban talál további információt.

Hozzáférési jogkivonat lekérése egy felhasználó nevében a PowerShell használatával

A MSAL.PS kódtár használatával szerezzen be delegált engedélyekkel rendelkező hozzáférési jogkivonatokat. A hozzáférési jogkivonat felhasználó nevében történő lekéréséhez futtassa az alábbi parancsokat:

Install-Module -Name MSAL.PS # Install the MSAL.PS module from PowerShell Gallery

$TenantId = " " # Paste your directory (tenant) ID here.
$AppClientId="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" # Paste your application (client) ID here.

$MsalParams = @{
   ClientId = $AppClientId
   TenantId = $TenantId
   Scopes   = 'https://graph.microsoft.com/User.Read.All','https://graph.microsoft.com/Files.ReadWrite','https://api.securitycenter.windows.com/AdvancedQuery.Read'
}

$MsalResponse = Get-MsalToken @MsalParams
$AccessToken  = $MsalResponse.AccessToken
 
$AccessToken # Display the token in PS console

A jogkivonat ellenőrzése

  1. Másolja és illessze be a jogkivonatot a JWT-be a dekódolásához.
  2. Győződjön meg arról, hogy a dekódolt jogkivonaton belüli szerepkörjogcím tartalmazza a kívánt engedélyeket.

Az alábbi képen egy alkalmazásból beszerzett dekódolt jogkivonatot láthat, amely Incidents.Read.Alla , Incidents.ReadWrite.Alla és AdvancedHunting.Read.All az engedélyekkel rendelkezik:

A Microsoft Defender portál Dekódolt jogkivonat paneljének Engedélyek szakasza

A jogkivonat használata a Microsoft Defender XDR API eléréséhez

  1. Válassza ki a használni kívánt API-t (incidensek vagy speciális veszélyforrás-keresés). További információ: Támogatott Microsoft Defender XDR API-k.
  2. Az elküldeni kívánt HTTP-kérelemben állítsa az engedélyezési fejlécet a következőre "Bearer" <token>: , Tulajdonos az engedélyezési séma, a jogkivonat pedig az érvényesített jogkivonat.
  3. A jogkivonat egy órán belül lejár. Ez idő alatt több kérést is küldhet ugyanazzal a jogkivonattal.

Az alábbi példa bemutatja, hogyan küldhet kérést az incidensek listájának lekéréséhez a C# használatával.

    var httpClient = new HttpClient();
    var request = new HttpRequestMessage(HttpMethod.Get, "https://api.security.microsoft.com/api/incidents");

    request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);

    var response = httpClient.SendAsync(request).GetAwaiter().GetResult();

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.