Microsoft Defender for Endpoint API にアクセスする

  • [アーティクル]

適用対象:

重要

Defender for Business には高度なハンティング機能は含まれていません。

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

Defender for Endpoint は、一連のプログラム API を通じて、そのデータとアクションの多くを公開します。 これらの API を使用すると、Defender for Endpoint 機能に基づいてワークフローを自動化し、イノベーションを行うことができます。 API アクセスには OAuth2.0 認証が必要です。 詳細については、「 OAuth 2.0 承認コード フロー」を参照してください。

Defender for Endpoint の API の概要については、このビデオをご覧ください。

一般に、API を使用するには、次の手順を実行する必要があります。

  • Microsoft Entra アプリケーションをCreateする
  • このアプリケーションを使用してアクセス トークンを取得する
  • トークンを使用して Defender for Endpoint API にアクセスする

Defender for Endpoint API には 、アプリケーション コンテキスト または ユーザー コンテキストを使用してアクセスできます。

  • アプリケーション コンテキスト: (推奨)

    サインインしているユーザーが存在せずに実行されるアプリで使用されます。 たとえば、バックグラウンド サービスまたはデーモンとして実行されるアプリなどです。

    アプリケーション コンテキストを使用して Defender for Endpoint API にアクセスするために実行する必要がある手順:

    1. Microsoft Entra Web-Application をCreateします。

    2. アプリケーションに目的のアクセス許可を割り当てます (たとえば、"アラートの読み取り"、"マシンの分離" など)。

    3. このアプリケーションのキーをCreateします。

    4. キーを使用してアプリケーションを使用してトークンを取得します。

    5. トークンを使用してMicrosoft Defender for Endpoint API にアクセスする

      詳細については、「 アプリケーション コンテキストを使用してアクセスを取得する」を参照してください。

  • ユーザー コンテキスト:

    ユーザーの代わりに API でアクションを実行するために使用されます。

    ユーザー コンテキストを使用して Defender for Endpoint API にアクセスするための手順:

    1. ネイティブ アプリケーションCreate Microsoft Entra。

    2. "アラートの読み取り"、"マシンの分離" など、目的のアクセス許可をアプリケーションに割り当てます。

    3. ユーザー資格情報を使用してアプリケーションを使用してトークンを取得します。

    4. トークンを使用してMicrosoft Defender for Endpoint API にアクセスする

      詳細については、「 ユーザー コンテキストを使用してアクセスを取得する」を参照してください。

ヒント

すべての結果を取得するために複数のクエリ要求が必要な場合、Microsoft Graph は、結果の次のページへの URL を含むプロパティを応答で返 @odata.nextLink します。 詳細については、アプリで Microsoft Graph データをページングするを参照してください。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。