Använda Microsoft Defender för slutpunkts-API:er
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Anteckning
Om du är myndighetskund i USA kan du använda de URI:er som visas i Microsoft Defender för Slutpunkt för kunder inom myndigheter i USA.
Tips
För bättre prestanda kan du använda servern närmare din geografiska plats:
- api-us.securitycenter.microsoft.com
- api-eu.securitycenter.microsoft.com
- api-uk.securitycenter.microsoft.com
På den här sidan beskrivs hur du skapar ett program för att få programtisk åtkomst till Defender för Endpoint för en användares räkning.
Om du behöver programåtkomst till Microsoft Defender för Slutpunkt utan en användare går du till Access Microsoft Defender för Slutpunkt med programkontext.
Om du inte är säker på vilken åtkomst du behöver kan du läsa introduktionssidan.
Microsoft Defender för slutpunkt visar mycket av dess data och åtgärder via en uppsättning programmässiga API:er. De här API:erna gör det möjligt att automatisera arbetsflöden och nya funktioner baserat på Microsoft Defender för Slutpunkt-funktioner. API-åtkomst kräver OAuth2.0-autentisering. Mer information finns i OAuth 2.0 auktoriseringskod för Flow.
I allmänhet måste du vidta följande steg för att använda API:er:
- Skapa ett AAD program
- Hämta en åtkomsttoken med det här programmet
- Använda token för att komma åt Defender för Endpoint API
På den här sidan förklaras hur du AAD ett program, hämtar en åtkomsttoken till Microsoft Defender för Endpoint och verifierar token.
Anteckning
När du öppnar Microsoft Defender för Endpoint API åt en användare behöver du rätt programbehörighet och användarbehörighet. Om du inte är bekant med användarbehörigheter i Microsoft Defender för Endpoint kan du läsa Hantera portalåtkomst med hjälp av rollbaserad åtkomstkontroll.
Tips
Om du har behörighet att utföra en åtgärd i portalen har du behörighet att utföra åtgärden i API:t.
Skapa en app
Logga in på Azure med ett användarkonto som har rollen Global administratör.
Gå till Azure Active Directory > Appregistreringar > Ny registrering.
När sidan Registrera ett program visas anger du registreringsinformationen för din app:
Namn – Ange ett beskrivande programnamn som ska visas för användare av programmet.
Kontotyper som stöds – Välj vilka konton du vill att programmet ska ha stöd för.
Kontotyper som stöds Beskrivning Konton endast i den här organisationskatalogen Välj det här alternativet om du skapar ett LOB-program. Det här alternativet är inte tillgängligt om du inte registrerar programmet i en katalog. Det här alternativet mappar endast till Azure AD med en klientorganisation.
Det här är standardalternativet såvida du inte registrerar programmet utanför en katalog. I fall där appen är registrerad utanför en katalog är standard azure AD-konton för flera innehavare och personliga Microsoft-konton.
Konton i valfri organisationskatalog Välj det här alternativet om du vill rikta alla företags- och utbildningskunder. Det här alternativet mappar till en Azure AD endast för flera innehavare.
Om du har registrerat appen som Azure AD endast för en enskild klientorganisation kan du uppdatera den till Att vara Azure AD för flera innehavare och tillbaka till en klientorganisation via autentiseringsbladet.
Konton i valfri organisationskatalog och personliga Microsoft-konton Välj det här alternativet om du vill ha det i hela uppsättningen kunder. Det här alternativet mappar till Azure AD-konton för flera innehavare och personliga Microsoft-konton.
Om du har registrerat appen som Azure AD-konton för flera innehavare och personliga Microsoft-konton kan du inte ändra detta i användargränssnittet. I stället måste du använda manifestredigeraren för att ändra kontotyperna som stöds.
Omdirigera URI (valfritt) – Välj typ av app du skapar, webb eller offentlig klient (mobil & skrivbord) och ange sedan omdirigerings-URI (eller svars-URL) för programmet.
För webbprogram anger du programmets bas-URL. Kan till
http://localhost:31544exempel vara URL-adressen för en webbapp som körs på din lokala dator. Användarna skulle använda URL-adressen för att logga in i ett webbklientprogram.För offentliga klientprogram anger du den URI som används av Azure AD för att returnera tokensvar. Ange ett specifikt värde för programmet, till exempel
myapp://auth.
Om du vill se specifika exempel för webbprogram eller interna program kan du läsa våra snabbstartsguider.
När du är klar väljer du Registrera.
Tillåt att programmet får åtkomst till Microsoft Defender för Endpoint och tilldela behörigheten Läsaviseringar:
Välj API-behörigheter Lägg till behörighetS-API:er som min organisation använder för > > > WindowsDefenderATP och välj på WindowsDefenderATP.
Anteckning
WindowsDefenderATP visas inte i den ursprungliga listan. Börja skriva namnet i textrutan så att det visas.
Välj Avisering om > delegerade behörigheter.Läs > välj Lägg till behörigheter.
Viktigt
Välj de relevanta behörigheterna. Läsaviseringar är bara ett exempel.
Till exempel:
Om du vill köra avancerade frågorväljer du Kör behörigheten Avancerade frågor.
Om du vill isolera en enhetväljer du Behörigheten Isolerad dator.
Ta reda på vilken behörighet du behöver i avsnittet Behörigheter i API:t som du vill anropa.
Välj Bevilja medgivande.
Anteckning
Varje gång du lägger till behörighet måste du välja Bevilja medgivande för att den nya behörigheten ska gälla.

Skriv ned ditt program-ID och ditt klient-ID.
Gå till Översikt på programsidan och kopiera följande information:
Hämta en åtkomsttoken
Mer information om hur du AAD token finns i Självstudiekurs för Azure AD.
Använda C#
Kopiera/klistra in underklassen i programmet.
Använd metoden AcquireUserTokenAsync med ditt program-ID, klientorganisations-ID, användarnamn och lösenord för att hämta en token.
namespace WindowsDefenderATP { using System.Net.Http; using System.Text; using System.Threading.Tasks; using Newtonsoft.Json.Linq; public static class WindowsDefenderATPUtils { private const string Authority = "https://login.microsoftonline.com"; private const string WdatpResourceId = "https://api.securitycenter.microsoft.com"; public static async Task<string> AcquireUserTokenAsync(string username, string password, string appId, string tenantId) { using (var httpClient = new HttpClient()) { var urlEncodedBody = $"resource={WdatpResourceId}&client_id={appId}&grant_type=password&username={username}&password={password}"; var stringContent = new StringContent(urlEncodedBody, Encoding.UTF8, "application/x-www-form-urlencoded"); using (var response = await httpClient.PostAsync($"{Authority}/{tenantId}/oauth2/token", stringContent).ConfigureAwait(false)) { response.EnsureSuccessStatusCode(); var json = await response.Content.ReadAsStringAsync().ConfigureAwait(false); var jObject = JObject.Parse(json); return jObject["access_token"].Value<string>(); } } } } }
Verifiera token
Kontrollera att du har fått rätt token:
Kopiera/klistra in i JWT den token du fick i föregående steg för att avkoda den.
Verifiera att du får ett SCP-anspråk med rätt appbehörighet.
På skärmbilden nedan kan du se en avkodad token som förvärvats från programmet i självstudiekursen:
Använda token för att komma åt Microsoft Defender för Endpoint API
Välj det API du vill använda – Microsoft Defender som stöds för slutpunkts-API:er.
Ange rubriken Auktorisering i HTTP-begäran som du skickar till "Bearer {token}" (Bearer är auktoriseringsschemat).
Förfallodatumet för token är 1 timme (du kan skicka mer än en begäran med samma token).
Exempel på att skicka en begäran om att få en lista med aviseringar med hjälp av C#:
var httpClient = new HttpClient(); var request = new HttpRequestMessage(HttpMethod.Get, "https://api.securitycenter.microsoft.com/api/alerts"); request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token); var response = httpClient.SendAsync(request).GetAwaiter().GetResult(); // Do something useful with the response