alkalmazás Létrehozás Végponthoz készült Microsoft Defender felhasználó nélküli elérésére

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender Vállalati verzió

Fontos

A Speciális veszélyforrás-keresési képességek nem szerepelnek a Defender Vállalati verzióban.

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

Megjegyzés:

Ha Ön az USA kormányzati szerveinek ügyfele, használja a Végponthoz készült Microsoft Defender-ben felsorolt URI-kat az USA kormányzati ügyfelei számára.

Tipp

A jobb teljesítmény érdekében a földrajzi helyhez közelebbi kiszolgálót használhat:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com

Ez az oldal bemutatja, hogyan hozhat létre alkalmazásokat a Végponthoz készült Defender programozott elérésére felhasználó nélkül. Ha egy felhasználó nevében programozott hozzáférésre van szüksége a Végponthoz készült Defenderhez, olvassa el a Hozzáférés kérése felhasználói környezettel című témakört. Ha nem biztos abban, hogy melyik hozzáférésre van szüksége, olvassa el az Első lépések című témakört.

Végponthoz készült Microsoft Defender az adatok és műveletek nagy részét programozott API-k segítségével teszi elérhetővé. Ezek az API-k segítenek a munkafolyamatok automatizálásában és a Végponthoz készült Defender képességein alapuló innovációban. Az API-hozzáféréshez OAuth2.0-hitelesítés szükséges. További információ: OAuth 2.0 engedélyezési kódfolyamat.

Az API-k használatához általában a következő lépéseket kell elvégeznie:

• Microsoft Entra alkalmazás Létrehozás.
• Hozzáférési jogkivonat lekérése ezzel az alkalmazással.
• A jogkivonat használatával érheti el a Végponthoz készült Defender API-t.

Ez a cikk ismerteti, hogyan hozhat létre Microsoft Entra alkalmazást, hogyan kérhet le hozzáférési jogkivonatot Végponthoz készült Microsoft Defender, és hogyan ellenőrizheti a jogkivonatot.

alkalmazás Létrehozás

1. Jelentkezzen be az Azure-ba egy globális rendszergazdai szerepkörrel rendelkező felhasználóval.

2. Lépjen a Microsoft Entra ID>Alkalmazásregisztrációk>Új regisztráció elemre.

   

3. A regisztrációs űrlapon válassza ki az alkalmazás nevét, majd válassza a Regisztráció lehetőséget.

4. Ha engedélyezni szeretné, hogy az alkalmazás hozzáférjen a Végponthoz készült Defenderhez, és " Az összes riasztás olvasása" engedélyt rendelje hozzá, az alkalmazás oldalán válassza az API-engedélyek>Engedély hozzáadása>API-kat>, írja be a WindowsDefenderATP kifejezést, majd válassza a WindowsDefenderATP lehetőséget.

   Megjegyzés:

   A WindowsDefenderATP nem jelenik meg az eredeti listában. Kezdje el beírni a nevét a szövegmezőbe, hogy megjelenjen.

   

   Válassza az Alkalmazásengedélyek>Alert.Read.All lehetőséget, majd az Engedélyek hozzáadása lehetőséget.

   

   Ki kell választania a megfelelő engedélyeket. A "Minden riasztás olvasása" csak egy példa. Például:

   • Speciális lekérdezések futtatásához válassza a "Speciális lekérdezések futtatása" engedélyt.
   • Az eszköz elkülönítéséhez válassza a Gép elkülönítése engedélyt.
   • Annak megállapításához, hogy melyik engedélyre van szüksége, tekintse meg a meghívni kívánt API Engedélyek szakaszát.

5. Válassza a Hozzájárulás megadása lehetőséget.

   Megjegyzés:

   Minden alkalommal, amikor hozzáad egy engedélyt, az új engedély érvénybe léptetéséhez a Hozzájárulás megadása lehetőséget kell választania.

   

6. Ha titkos kódot szeretne hozzáadni az alkalmazáshoz, válassza a Tanúsítványok & titkos kód lehetőséget, adjon hozzá egy leírást a titkos kódhoz, majd válassza a Hozzáadás lehetőséget.

   Megjegyzés:

   A Hozzáadás lehetőség kiválasztása után válassza a létrehozott titkos kód értékének másolása lehetőséget. A kilépés után nem fogja tudni lekérni ezt az értéket.

   

7. Jegyezze fel az alkalmazásazonosítót és a bérlőazonosítót. Az alkalmazás oldalán lépjen az Áttekintés lapra, és másolja ki az alábbiakat.

   

8. Csak Végponthoz készült Microsoft Defender Partnerek számára. Állítsa be az alkalmazást több-bérlősre (a jóváhagyás után az összes bérlőben elérhető). Ez harmadik féltől származó alkalmazások esetében szükséges (például ha olyan alkalmazást hoz létre, amely több ügyfél bérlőjében való futtatásra szolgál). Erre nincs szükség , ha olyan szolgáltatást hoz létre, amelyet csak a bérlőben szeretne futtatni (például ha saját használatra hoz létre egy alkalmazást, amely csak a saját adataival fog kommunikálni). Ha az alkalmazást több-bérlősre szeretné állítani:

   • Lépjen a Hitelesítés területre, és adja hozzá https://portal.azure.comátirányítási URI-ként.

   • A lap alján, a Támogatott fióktípusok területen válassza a Fiókok lehetőséget a több-bérlős alkalmazáshoz tartozó bármely szervezeti címtáralkalmazásban .

   Az alkalmazást minden olyan bérlőben jóvá kell hagyni, ahol használni szeretné. Ennek az az oka, hogy az alkalmazás az ügyfél nevében kommunikál a Végponthoz készült Defender szolgáltatásban.

   Önnek (vagy az ügyfélnek, ha harmadik féltől származó alkalmazást ír) ki kell választania a hozzájárulási hivatkozást, és jóvá kell hagynia az alkalmazást. A hozzájárulást olyan felhasználóval kell megtenni, aki rendszergazdai jogosultságokkal rendelkezik az Active Directoryban.

   A hozzájárulási hivatkozás a következőképpen jön létre:

   https://login.microsoftonline.com/common/oauth2/authorize?prompt=consent&client_id=00000000-0000-0000-0000-000000000000&response_type=code&sso_reload=true
   

   Ahol a 00000000-0000-0000-0000-00000000000 helyére az alkalmazásazonosító kerül.

Kész! Sikeresen regisztrált egy alkalmazást! A jogkivonatok beszerzéséről és érvényesítéséről alább talál példákat.

Hozzáférési jogkivonat lekérése

A Microsoft Entra tokenekről az Microsoft Entra oktatóanyagban talál további információt.

A PowerShell használata

# This script acquires the App Context Token and stores it in the variable $token for later use in the script.
# Paste your Tenant ID, App ID, and App Secret (App key) into the indicated quotes below.

$tenantId = '' ### Paste your tenant ID here
$appId = '' ### Paste your Application ID here
$appSecret = '' ### Paste your Application key here

$sourceAppIdUri = 'https://api.securitycenter.microsoft.com/.default'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/v2.0/token"
$authBody = [Ordered] @{
    scope = "$sourceAppIdUri"
    client_id = "$appId"
    client_secret = "$appSecret"
    grant_type = 'client_credentials'
}
$authResponse = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $authBody -ErrorAction Stop
$token = $authResponse.access_token
$token

A C# használata:

A következő kódot a NuGet Microsoft.Identity.Client 3.19.8-val teszteltük.

Fontos

A Microsoft.IdentityModel.Clients.ActiveDirectory NuGet-csomag és Azure AD Authentication Library (ADAL) elavult. 2020. június 30. óta nem adhatók hozzá új funkciók. Javasoljuk, hogy frissítsen. További részletekért tekintse meg a migrálási útmutatót .

1. Létrehozás egy új konzolalkalmazást.

2. Telepítse a NuGet Microsoft.Identity.Client eszközt.

3. Adja hozzá a következőket:

   using Microsoft.Identity.Client;
   

4. Másolja és illessze be a következő kódot az alkalmazásba (ne felejtse el frissíteni a három változót: tenantId, appId, appSecret):

   string tenantId = "00000000-0000-0000-0000-000000000000"; // Paste your own tenant ID here
   string appId = "11111111-1111-1111-1111-111111111111"; // Paste your own app ID here
   string appSecret = "22222222-2222-2222-2222-222222222222"; // Paste your own app secret here for a test, and then store it in a safe place! 
   const string authority = "https://login.microsoftonline.com";
   const string audience = "https://api.securitycenter.microsoft.com";
   
   IConfidentialClientApplication myApp = ConfidentialClientApplicationBuilder.Create(appId).WithClientSecret(appSecret).WithAuthority($"{authority}/{tenantId}").Build();
   
   List<string> scopes = new List<string>() { $"{audience}/.default" };
   
   AuthenticationResult authResult = myApp.AcquireTokenForClient(scopes).ExecuteAsync().GetAwaiter().GetResult();
   
   string token = authResult.AccessToken;
   

A Python használata

Lásd: Jogkivonat lekérése a Python használatával.

A Curl használata

Megjegyzés:

Az alábbi eljárás feltételezi, hogy a Windows Curl már telepítve van a számítógépen.

1. Nyisson meg egy parancssort, és állítsa CLIENT_ID az Azure-alkalmazásazonosítóra.

2. Állítsa CLIENT_SECRET az Azure-alkalmazás titkos kódjára.

3. Állítsa a TENANT_ID annak az ügyfélnek az Azure-bérlőazonosítójára, aki az alkalmazást szeretné használni a Végponthoz készült Defender eléréséhez.

4. Futtassa az alábbi parancsot:

   curl -i -X POST -H "Content-Type:application/x-www-form-urlencoded" -d "grant_type=client_credentials" -d "client_id=%CLIENT_ID%" -d "scope=https://securitycenter.onmicrosoft.com/windowsatpservice/.default" -d "client_secret=%CLIENT_SECRET%" "https://login.microsoftonline.com/%TENANT_ID%/oauth2/v2.0/token" -k
   

   A választ a következő formában kapja meg:

   {"token_type":"Bearer","expires_in":3599,"ext_expires_in":0,"access_token":"eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIn <truncated> aWReH7P0s0tjTBX8wGWqJUdDA"}
   

A jogkivonat ellenőrzése

Győződjön meg arról, hogy a megfelelő jogkivonatot kapta:

1. A dekódolásához másolja és illessze be az előző lépésben kapott jogkivonatot a JWT-be .

2. Ellenőrizze, hogy a kívánt engedélyekkel rendelkezik-e a "szerepkörök" jogcím.

   Az alábbi képen egy olyan dekódolt jogkivonat látható, amely egy alkalmazástól származik, és rendelkezik engedélyekkel Végponthoz készült Microsoft Defender összes szerepköréhez:

   

A jogkivonat használata Végponthoz készült Microsoft Defender API eléréséhez

1. Válassza ki a használni kívánt API-t. További információ: Végponthoz készült Defender API-k.
2. Állítsa be az engedélyezési fejlécet a "Tulajdonos {token}" címre küldött HTTP-kérelemben (a tulajdonos az engedélyezési séma).
3. A jogkivonat lejárati ideje egy óra. Több kérést is elküldhet ugyanazzal a jogkivonattal.

Az alábbiakban egy példát láthat arra, hogyan küldhet egy kérést a riasztások listájának lekéréséhez a C# használatával:

var httpClient = new HttpClient();

var request = new HttpRequestMessage(HttpMethod.Get, "https://api.securitycenter.microsoft.com/api/alerts");

request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);

var response = httpClient.SendAsync(request).GetAwaiter().GetResult();

// Do something useful with the response

Lásd még

• Támogatott Végponthoz készült Microsoft Defender API-k
• Hozzáférés Végponthoz készült Microsoft Defender egy felhasználó nevében

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.