Avancerad jakt med PowerShell

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 2

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Obs!

Om du är en us government-kund använder du de URI:er som anges i Microsoft Defender för Endpoint för amerikanska myndighetskunder.

Tips

För bättre prestanda kan du använda servern närmare din geoplats:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com

Kör avancerade frågor med PowerShell. Mer information finns i Api för avancerad jakt.

I det här avsnittet delar vi PowerShell-exempel för att hämta en token och använda den för att köra en fråga.

Innan du börjar

Du måste först skapa en app.

Förberedelseinstruktioner

• Öppna ett PowerShell-fönster.

• Om principen inte tillåter att du kör PowerShell-kommandona kan du köra följande kommando:

  Set-ExecutionPolicy -ExecutionPolicy Bypass
  

Mer information finns i PowerShell-dokumentationen.

Hämta token

• Kör följande:

$tenantId = '00000000-0000-0000-0000-000000000000' # Paste your own tenant ID here
$appId = '11111111-1111-1111-1111-111111111111' # Paste your own app ID here
$appSecret = '22222222-2222-2222-2222-222222222222' # Paste your own app secret here

$resourceAppIdUri = 'https://api.securitycenter.microsoft.com'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/token"
$body = [Ordered] @{
    resource = "$resourceAppIdUri"
    client_id = "$appId"
    client_secret = "$appSecret"
    grant_type = 'client_credentials'
}
$response = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $body -ErrorAction Stop
$aadToken = $response.access_token

Där

• $tenantId: ID för den klientorganisation för vilken du vill köra frågan (det vill sägs att frågan körs på data för den här klientorganisationen)
• $appId: ID för din Microsoft Entra app (appen måste ha behörigheten Kör avancerade frågor till Defender för Endpoint)
• $appSecret: Hemlighet för din Microsoft Entra app

Köra fråga

Kör följande fråga:

$token = $aadToken
$query = 'DeviceRegistryEvents | limit 10' # Paste your own query here

$url = "https://api.securitycenter.microsoft.com/api/advancedhunting/run"
$headers = @{ 
    'Content-Type' = 'application/json'
    Accept = 'application/json'
    Authorization = "Bearer $aadToken" 
}
$body = ConvertTo-Json -InputObject @{ 'Query' = $query }
$webResponse = Invoke-WebRequest -Method Post -Uri $url -Headers $headers -Body $body -ErrorAction Stop
$response =  $webResponse | ConvertFrom-Json
$results = $response.Results
$schema = $response.Schema

• $results innehåller resultatet av frågan
• $schema innehåller schemat för resultatet av frågan

Komplexa frågor

Om du vill köra komplexa frågor (eller flerradsfrågor) sparar du frågan i en fil och kör följande kommando i stället för den första raden i exemplet ovan:

$query = [IO.File]::ReadAllText("C:\myQuery.txt"); # Replace with the path to your file

Arbeta med frågeresultat

Nu kan du använda frågeresultatet.

Kör följande kommando för att mata ut resultatet av frågan i CSV-format i fil file1.csv:

$results | ConvertTo-Csv -NoTypeInformation | Set-Content C:\file1.csv

Kör följande kommando för att mata ut resultatet av frågan i JSON-format i fil file1.json:

$results | ConvertTo-Json | Set-Content file1.json

Relaterad artikel

• Microsoft Defender för Endpoint API:er
• API för avancerad jakt
• Avancerad jakt med Python

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.