Python を使用した高度な追求

適用対象:

• Microsoft Defender for Endpoint

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

注:

米国政府機関のお客様の場合は、米国政府機関のお客様のMicrosoft Defender for Endpointに記載されている URI を使用してください。

ヒント

パフォーマンスを向上させるために、地理的な場所に近いサーバーを使用できます。

• api-us.securitycenter.microsoft.com
• api-eu.securitycenter.microsoft.com
• api-uk.securitycenter.microsoft.com
• api-au.securitycenter.microsoft.com

Python を使用して高度なクエリを実行する方法については、「 Advanced Hunting API」を参照してください。

このセクションでは、Python サンプルを共有してトークンを取得し、それを使用してクエリを実行します。

前提条件: 最初に アプリを作成する必要があります。

トークンを取得する

• 以下のコマンドを実行します。

import json
import urllib.request
import urllib.parse

tenantId = '00000000-0000-0000-0000-000000000000' # Paste your own tenant ID here
appId = '11111111-1111-1111-1111-111111111111' # Paste your own app ID here
appSecret = '22222222-2222-2222-2222-222222222222' # Paste your own app secret here

url = "https://login.microsoftonline.com/%s/oauth2/token" % (tenantId)

resourceAppIdUri = 'https://api.securitycenter.microsoft.com'

body = {
    'resource' : resourceAppIdUri,
    'client_id' : appId,
    'client_secret' : appSecret,
    'grant_type' : 'client_credentials'
}

data = urllib.parse.urlencode(body).encode("utf-8")

req = urllib.request.Request(url, data)
response = urllib.request.urlopen(req)
jsonResponse = json.loads(response.read())
aadToken = jsonResponse["access_token"]

場所

• tenantId: クエリを実行するテナントの ID (つまり、クエリはこのテナントのデータで実行されます)
• appId: Microsoft Entra アプリの ID (アプリには、Microsoft Defender for Endpointに対する "高度なクエリの実行" アクセス許可が必要です)
• appSecret: Microsoft Entra アプリのシークレット

クエリの実行

次のクエリを実行します。

query = 'DeviceRegistryEvents | limit 10' # Paste your own query here

url = "https://api.securitycenter.microsoft.com/api/advancedqueries/run"
headers = { 
    'Content-Type' : 'application/json',
    'Accept' : 'application/json',
    'Authorization' : "Bearer " + aadToken
}

data = json.dumps({ 'Query' : query }).encode("utf-8")

req = urllib.request.Request(url, data, headers)
response = urllib.request.urlopen(req)
jsonResponse = json.loads(response.read())
schema = jsonResponse["Schema"]
results = jsonResponse["Results"]

• schema には、クエリの結果のスキーマが含まれています
• 結果にはクエリの結果が含まれます

複雑なクエリ

複雑なクエリ (または複数行クエリ) を実行する場合は、クエリをファイルに保存し、上記のサンプルの最初の行ではなく、次のコマンドを実行します。

queryFile = open("D:\\Temp\\myQuery.txt", 'r') # Replace with the path to your file
query = queryFile.read()
queryFile.close()

クエリ結果を操作する

クエリ結果を使用できるようになりました。

結果を反復処理するには、次のコマンドを使用します。

for result in results:
    print(result) # Prints the whole result
    print(result["EventTime"]) # Prints only the property 'EventTime' from the result

クエリの結果を CSV 形式でファイルに出力するには file1.csv 次のコマンドを使用します。

import csv

outputFile = open("D:\\Temp\\file1.csv", 'w')
output = csv.writer(outputFile)
output.writerow(results[0].keys())
for result in results:
    output.writerow(result.values())

outputFile.close()

クエリの結果を JSON 形式でファイルに出力するにはfile1.json次のコマンドを使用します。

outputFile = open("D:\\Temp\\file1.json", 'w')
json.dump(results, outputFile)
outputFile.close()

関連トピック

• Microsoft Defender for Endpoint API
• Advanced Hunting API
• PowerShell を使用した高度な追求

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。