DEFENDER VOOR CLOUD APPS REST API
Notitie
We hebben de naam van Microsoft Cloud App Security gewijzigd. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken worden de schermafbeeldingen en instructies hier en op gerelateerde pagina's bijgewerkt. Zie deze aankondiging voor meer informatie over de wijziging. Zie het Microsoft Ignite Security-blog voor meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.
In dit artikel wordt beschreven hoe u kunt communiceren met Defender voor Cloud Apps via HTTPS.
De Microsoft Defender for Cloud Apps-API biedt programmatische toegang tot Defender voor Cloud Apps via REST API-eindpunten. Toepassingen kunnen de API gebruiken om lees- en updatebewerkingen uit te voeren op Defender voor Cloud Apps-gegevens en -objecten. De DEFENDER VOOR CLOUD Apps-API ondersteunt bijvoorbeeld de volgende algemene bewerkingen voor een gebruikersobject:
- logboekbestanden voor Cloud Discovery Upload
- Blokscripts genereren
- Activiteiten en waarschuwingen weergeven
- Waarschuwingen sluiten of oplossen
API URL-structuur
Als u de API voor Defender voor Cloud Apps wilt gebruiken, moet u eerst de API-URL van uw tenant verkrijgen. De API-URL maakt gebruik van de volgende indeling: https://<portal_url>/api/<endpoint>.
Voer de volgende stappen uit om de URL van de Defender voor Cloud Apps-portal voor uw tenant op te halen:
Selecteer in de Defender voor Cloud Apps-portal het vraagtekenpictogram in de menubalk. Selecteer Vervolgens Info.
In het scherm Defender voor Cloud Apps over het scherm ziet u de URL van de portal.
Zodra u de portal-URL hebt, voegt u het /api achtervoegsel eraan toe om uw API-URL te verkrijgen. Als de URL van uw portal bijvoorbeeld is https://mytenant.us2.contoso.com, is https://mytenant.us2.contoso.com/apiuw API-URL.
API-tokens
Defender voor Cloud Apps vereist een API-token in de header van alle API-aanvragen naar de server, zoals:
Authorization: Token <your_token_key>
Waar <your_token_key> is uw persoonlijke API-token.
Zie API-tokens beheren voor meer informatie over API-tokens.
Voorbeeld
curl -XGET -H "Authorization:Token <your_token_key>" "https://<tenant_id>.<tenant_region>.contoso.com/api/example-endpoint"
Welke acties worden ondersteund?
In de volgende tabel worden de ondersteunde acties beschreven:
| Resource | HTTP-woorden | URI-routes |
|---|---|---|
| Activiteiten | GET of POST | /api/v1/activities/ |
| Waarschuwingen | GET of POST | /api/v1/alerts/ |
| Cloud Discovery | GET, POST of PUT | /api/v1/discovery/ |
| Gegevensverrijking | GET, POST of DELETE | /api/subnet/ |
| Entiteiten | GET of POST | /api/v1/entiteiten/ |
| Bestanden | GET of POST | /api/v1/files/ |
Waarbij Resource een groep gerelateerde entiteiten vertegenwoordigt.
Welke veldtypen worden ondersteund?
In de volgende tabel worden de ondersteunde veldtypen beschreven:
| Veld | Description |
|---|---|
| tekenreeks | Een teksttekenreeks |
| booleaans | Een Booleaanse waarde die waar/onwaar vertegenwoordigt |
| geheel getal | 32-bits ondertekend geheel getal |
| tijdstempel | Milliseconden sinds epoch |
Timestamps
Vermeldingen van tijdstempels in de DEFENDER VOOR CLOUD Apps-API verwijzen naar de Unix-tijdstempel in milliseconden. Dit tijdstempel wordt bepaald door het aantal milliseconden sinds 1970-01-01 0:00:00. U kunt de PowerShell-cmdlet get-date gebruiken om datums te converteren naar tijdstempels.
Limieten
U kunt ervoor kiezen om uw aanvragen te beperken door een limietparameter in de aanvraag op te geven.
De volgende methoden worden ondersteund om de parameter limiet op te geven:
- URL-gecodeerd (met
Content-Type: application/x-www-form-urlencodedheader) - Formuliergegevens
- JSON-hoofdtekst (met
Content-Type: multipart/form-dataen een geschikte grensheader)
Notitie
- Als er geen limiet is opgegeven, wordt een standaardwaarde van 100 ingesteld.
- Antwoorden voor alle aanvragen die met het API-token zijn gedaan, zijn beperkt tot maximaal 100 items.
- De beperkingslimiet voor alle API-aanvragen is 30 aanvragen per minuut per tenant.
Filters
Wanneer u een groot aantal resultaten hebt, is het handig om aanvragen af te stemmen met behulp van filters. In deze sectie wordt de structuur beschreven van en operators die kunnen worden gebruikt met filters.
Structuur
Sommige van onze API-eindpunten ondersteunen filters bij het uitvoeren van query's. In de relevante secties vindt u een verwijzing met alle beschikbare filterbare velden en ondersteunde operators voor die resource.
De meeste filters ondersteunen meerdere waarden om u krachtige query's te bieden. Bij het combineren van filters en operators gebruiken we AND als logische operator tussen de filters.
Voorbeeld
curl -XGET -H "Authorization:Token <your_token_key>" "https://<tenant_id>.<tenant_region>.contoso.com/api/example-endpoint" -d '{
"filters": {
"some.field": {
"eq": ["value1", "value2"],
"isset": true
},
"some.field2": {
"gte": 5
}
},
"skip": 5,
"limit": 10
}'
Operators
Notitie
Niet alle operators zijn compatibel met alle filters.
In de volgende tabel worden de ondersteunde operators beschreven:
| Operator | Antwoordtype | Description |
|---|---|---|
| bevat | lijst met tekenreeksen | Retourneert alle relevante records die een van de opgegeven tekenreeksen bevatten |
| deq | lijst met waarden | Geeft als resultaat alle records die één waarde bevatten die niet gelijk is aan één van de opgegeven waarden |
| afstammeling van | lijst met waarden | Retourneert alle relevante records die overeenkomen met waarden of afstammelingen van deze records |
| doesnotstartwith | lijst met tekenreeksen | Retourneert alle relevante records die niet beginnen met elk van de opgegeven tekenreeksen |
| endswith | lijst met tekenreeksen | Retourneert alle relevante records die eindigen op een van de opgegeven tekenreeksen |
| eq | lijst met waarden | Geeft als resultaat alle relevante records die een van de opgegeven waarden bevatten |
| Gt | enkele waarde | Geeft als resultaat alle records waarvan de waarde groter is dan de opgegeven waarde |
| Gte | enkele waarde | Geeft als resultaat alle records waarvan de waarde groter is dan of gelijk is aan de opgegeven waarde |
| gte_ndays | getal | Retourneert alle records met datum later dan N dagen geleden |
| isnotset | booleaans | Als deze optie is ingesteld op 'true', worden alle relevante records geretourneerd die geen waarde hebben in het opgegeven veld |
| Isset | booleaans | Als deze optie is ingesteld op 'true', worden alle relevante records geretourneerd met een waarde in het opgegeven veld |
| lt | enkele waarde | Geeft als resultaat alle records waarvan de waarde kleiner is dan de opgegeven waarde |
| Lte | enkele waarde | Geeft als resultaat alle records waarvan de waarde kleiner is dan of gelijk is aan de opgegeven waarde |
| lte_ndays | getal | Retourneert alle records met datum ouder dan N dagen geleden |
| ncontains | lijst met tekenreeksen | Retourneert alle relevante records die geen van de opgegeven tekenreeksen bevatten |
| ndescendantof | lijst met waarden | Retourneert alle relevante records die niet overeenkomen met waarden of afstammelingen van deze records |
| neq | lijst met waarden | Retourneert alle relevante records die niet alle opgegeven waarden bevatten |
| Bereik | lijst met objecten met velden 'begin' en 'eind'. | Retourneert alle records binnen een van de opgegeven bereiken |
| startswith | lijst met tekenreeksen | Retourneert alle relevante records die beginnen met een van de opgegeven tekenreeksen |
| startswithsingle | tekenreeks | Retourneert alle relevante records die beginnen met de opgegeven tekenreeks |
| tekst | tekenreeks | Voert een zoekopdracht in volledige tekst uit van alle records |
Volgende stappen
Als u problemen ondervindt, zijn we hier om u te helpen. Als u hulp of ondersteuning voor uw productprobleem wilt krijgen, opent u een ondersteuningsticket.