Delen via

Geavanceerde opsporing met behulp van PowerShell

  • Artikel

Van toepassing op:

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Opmerking

Als u een klant van de Amerikaanse overheid bent, gebruikt u de URI's die worden vermeld in Microsoft Defender voor Eindpunt voor klanten van de Amerikaanse overheid.

Tip

Voor betere prestaties kunt u de server dichter bij uw geografische locatie gebruiken:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Geavanceerde query's uitvoeren met Behulp van PowerShell. Zie Geavanceerde opsporings-API voor meer informatie.

In deze sectie delen we PowerShell-voorbeelden om een token op te halen en gebruiken we dit om een query uit te voeren.

Voordat u begint

U moet eerst een app maken.

Voorbereidingsinstructies

  • Open een PowerShell-venster.

  • Als uw beleid u niet toestaat om de PowerShell-opdrachten uit te voeren, kunt u de volgende opdracht uitvoeren:

    Set-ExecutionPolicy -ExecutionPolicy Bypass

Zie PowerShell-documentatie voor meer informatie.

Token ophalen

  • Voer het volgende uit:
$tenantId = '00000000-0000-0000-0000-000000000000' # Paste your own tenant ID here
$appId = '11111111-1111-1111-1111-111111111111' # Paste your own app ID here
$appSecret = '22222222-2222-2222-2222-222222222222' # Paste your own app secret here

$resourceAppIdUri = 'https://api.securitycenter.microsoft.com'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/token"
$body = [Ordered] @{
    resource = "$resourceAppIdUri"
    client_id = "$appId"
    client_secret = "$appSecret"
    grant_type = 'client_credentials'
}
$response = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $body -ErrorAction Stop
$aadToken = $response.access_token

Waar

  • $tenantId: id van de tenant namens wie u de query wilt uitvoeren (de query wordt uitgevoerd op de gegevens van deze tenant)
  • $appId: id van uw Microsoft Entra-app (de app moet de machtiging Geavanceerde query's uitvoeren hebben voor Defender voor Eindpunt)
  • $appSecret: geheim van uw Microsoft Entra-app

Query uitvoeren

Voer de volgende query uit:

$token = $aadToken
$query = 'DeviceRegistryEvents | limit 10' # Paste your own query here

$url = "https://api.securitycenter.microsoft.com/api/advancedhunting/run"
$headers = @{ 
    'Content-Type' = 'application/json'
    Accept = 'application/json'
    Authorization = "Bearer $aadToken" 
}
$body = ConvertTo-Json -InputObject @{ 'Query' = $query }
$webResponse = Invoke-WebRequest -Method Post -Uri $url -Headers $headers -Body $body -ErrorAction Stop
$response =  $webResponse | ConvertFrom-Json
$results = $response.Results
$schema = $response.Schema
  • $results de resultaten van uw query bevatten
  • $schema bevat het schema van de resultaten van uw query

Complexe query's

Als u complexe query's (of query's met meerdere regels) wilt uitvoeren, slaat u de query op in een bestand en voert u in plaats van de eerste regel in het bovenstaande voorbeeld de volgende opdracht uit:

$query = [IO.File]::ReadAllText("C:\myQuery.txt"); # Replace with the path to your file

Werken met queryresultaten

U kunt nu de queryresultaten gebruiken.

Voer de volgende opdracht uit om de resultaten van de query uit te voeren in CSV-indeling in bestand file1.csv:

$results | ConvertTo-Csv -NoTypeInformation | Set-Content C:\file1.csv

Voer de volgende opdracht uit om de resultaten van de query uit te voeren in JSON-indeling in bestand file1.json:

$results | ConvertTo-Json | Set-Content file1.json

Gerelateerd artikel

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.