Microsoft Defender para Ponto de Extremidade API – Olá, Mundo
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Observação
Se você for um cliente do governo dos EUA, use as URIs listadas em Microsoft Defender para Ponto de Extremidade para clientes do governo dos EUA.
Dica
Para obter um melhor desempenho, você pode usar o servidor mais próximo da localização geográfica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
Obter alertas usando um script simples do PowerShell
Quanto tempo leva para passar por este exemplo?
Leva apenas 5 minutos em duas etapas:
- Registro de aplicativo
- Usar exemplos: só requer cópia/colagem de um script curto do PowerShell
Preciso de uma permissão para me conectar?
Para a fase de registro de aplicativo, você deve ter uma função Administrador global no locatário Microsoft Entra.
Etapa 1 – Create um aplicativo no Microsoft Entra ID
Faça logon no Azure com seu usuário Administrador global.
Navegue até Microsoft Entra ID>Registros de aplicativo>Novo registro.
No formulário de registro, escolha um nome para seu aplicativo e clique em Registrar.
Permitir que seu aplicativo acesse o Defender para Ponto de Extremidade e atribua a ele a permissão "Ler todos os alertas" :
Em sua página de aplicativo, clique em Permissões >de APIAdicionar APIs depermissão>minha organização usa> o tipo WindowsDefenderATP e clique em WindowsDefenderATP.
Observação
O WindowsDefenderATP não aparece na lista original. Você precisa começar a escrever seu nome na caixa de texto para vê-lo aparecer.
Escolha Permissões> de aplicativoAlert.Read.All> Clique em Adicionar permissões.
Importante
Você precisa selecionar as permissões relevantes. 'Ler Todos os Alertas' é apenas um exemplo!
Por exemplo:
- Para executar consultas avançadas, selecione permissão "Executar consultas avançadas".
- Para isolar um computador, selecione permissão "Isolar máquina".
- Para determinar qual permissão você precisa, examine a seção Permissões na API que você está interessado em chamar.
Clique em Conceder consentimento.
Observação
Toda vez que você adicionar permissão, você deve clicar em Conceder consentimento para que a nova permissão entre em vigor.
Adicione um segredo ao aplicativo.
Clique em Certificados & segredos, adicione descrição ao segredo e clique em Adicionar.
Importante
Depois de clicar em Adicionar, copie o valor secreto gerado. Você não será capaz de recuperar depois de sair!
Anote sua ID do aplicativo e sua ID do locatário.
Na página do aplicativo, acesse Visão geral e copie o seguinte:
Concluído! Você registrou com êxito um aplicativo!
Etapa 2 – Obtenha um token usando o Aplicativo e use esse token para acessar a API.
Copie o script abaixo para o ISE do PowerShell ou para um editor de texto e salve-o como Get-Token.ps1.
Executar esse script gerará um token e o salvará na pasta de trabalho sob o nome Latest-token.txt.
# That code gets the App Context Token and save it to a file named "Latest-token.txt" under the current directory # Paste below your Tenant ID, App ID and App Secret (App key). $tenantId = '' ### Paste your tenant ID here $appId = '' ### Paste your Application ID here $appSecret = '' ### Paste your Application secret here $resourceAppIdUri = 'https://api.securitycenter.microsoft.com' $oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/token" $authBody = [Ordered] @{ resource = "$resourceAppIdUri" client_id = "$appId" client_secret = "$appSecret" grant_type = 'client_credentials' } $authResponse = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $authBody -ErrorAction Stop $token = $authResponse.access_token Out-File -FilePath "./Latest-token.txt" -InputObject $token return $token
Verificação de sanidade:
- Execute o script.
- No navegador, acesse: https://jwt.ms/.
- Copie o token (o conteúdo do arquivo Latest-token.txt).
- Cole na caixa superior.
- Procure a seção "funções". Localize a função Alert.Read.All .
Vamos receber os alertas!
O script a seguir usará Get-Token.ps1 para acessar a API e receberá os alertas das últimas 48 horas.
Salve esse script na mesma pasta que você salvou o script anterior Get-Token.ps1.
O script cria dois arquivos (json e csv) com os dados na mesma pasta que os scripts.
# Returns Alerts created in the past 48 hours. $token = ./Get-Token.ps1 #run the script Get-Token.ps1 - make sure you are running this script from the same folder of Get-Token.ps1 # Get Alert from the last 48 hours. Make sure you have alerts in that time frame. $dateTime = (Get-Date).ToUniversalTime().AddHours(-48).ToString("o") # The URL contains the type of query and the time filter we create above # Read more about [other query options and filters](get-alerts.md). $url = "https://api.securitycenter.microsoft.com/api/alerts?`$filter=alertCreationTime ge $dateTime" # Set the WebRequest headers $headers = @{ 'Content-Type' = 'application/json' Accept = 'application/json' Authorization = "Bearer $token" } # Send the webrequest and get the results. $response = Invoke-WebRequest -Method Get -Uri $url -Headers $headers -ErrorAction Stop # Extract the alerts from the results. $alerts = ($response | ConvertFrom-Json).value | ConvertTo-Json # Get string with the execution time. We concatenate that string to the output file to avoid overwrite the file $dateTimeForFileName = Get-Date -Format o | foreach {$_ -replace ":", "."} # Save the result as json and as csv $outputJsonPath = "./Latest Alerts $dateTimeForFileName.json" $outputCsvPath = "./Latest Alerts $dateTimeForFileName.csv" Out-File -FilePath $outputJsonPath -InputObject $alerts ($alerts | ConvertFrom-Json) | Export-CSV $outputCsvPath -NoTypeInformation
Vocês terminaram! Você acabou de obter êxito:
- Criado e registrado e aplicativo
- Permissão concedida para que o aplicativo leia alertas
- Conectou a API
- Usou um script do PowerShell para retornar alertas criados nas últimas 48 horas
Tópico relacionado
- APIs Microsoft Defender para Ponto de Extremidade
- Acessar Microsoft Defender para Ponto de Extremidade com o contexto do aplicativo
- Acessar Microsoft Defender para Ponto de Extremidade com o contexto do usuário
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de