Skapa ett program för åtkomst Microsoft 365 Defender API:er för en användares räkning

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

På den här sidan beskrivs hur du skapar ett program för att få programbehörighet till Microsoft 365 Defender för en enskild användares räkning.

Om du behöver programmeringsåtkomst till Microsoft 365 Defender utan en definierad användare (om du till exempel skriver en bakgrundsapp eller bakgrund) kan du gå till Skapa ett program för att komma åt Microsoft 365 Defender utan en användare. Om du behöver ge åtkomst för flera klientorganisationar – till exempel om du arbetar i en stor organisation eller en grupp kunder – kan du gå till Skapa ett program med partneråtkomsttill Microsoft 365 Defender API:er. Om du är osäker på vilken typ av åtkomst du behöver kan du gå till Komma igång.

Microsoft 365 Defender mycket av informationen och åtgärderna via ett antal programmässiga API:er. De här API:erna hjälper dig att automatisera arbetsflöden och Microsoft 365 Defender av funktionerna. Den här API-åtkomsten kräver OAuth2.0-autentisering. Mer information finns i OAuth 2.0 auktoriseringskod för Flow.

I allmänhet måste du vidta följande steg för att använda följande API:er:

  • Skapa ett Azure Active Directory (Azure AD).
  • Hämta en åtkomsttoken med det här programmet.
  • Använd tokenet för att komma Microsoft 365 Defender API.

I den här artikeln förklaras hur du:

  • Skapa ett Azure AD-program
  • Hämta en åtkomsttoken till Microsoft 365 Defender
  • Verifiera token

Anteckning

När du öppnar Microsoft 365 Defender API för en användares räkning behöver du rätt programbehörigheter och användarbehörigheter.

Tips

Om du har behörighet att utföra en åtgärd i portalen har du behörighet att utföra åtgärden i API:t.

Skapa en app

  1. Logga in i Azure som en användare med rollen Global administratör.

  2. Gå till Azure Active Directory > Appregistreringar > Ny registrering.

    Bild av Microsoft Azure navigering till registrering av program.

  3. Välj ett namn för programmet i formuläret och ange följande information för omdirigerings-URI:en och välj sedan Registrera.

    Bild av fönstret Skapa program.

  4. På programsidan väljer du API-behörigheter Lägg till > > behörighetS-API:er som min organisation använder >, skriver Microsoft Threat Protection och väljer Microsoft Threat Protection. Nu kan du komma åt Microsoft 365 Defender.

    Tips

    Microsoft Threat Protection är ett tidigare namn Microsoft 365 Defender namn och visas inte i den ursprungliga listan. Du måste börja skriva namnet i textrutan för att det ska visas.

    Bild av val av API-behörighet.

    • Välj Delegerade behörigheter. Välj relevanta behörigheter för ditt scenario (till exempel Incident.Läsa) och välj sedan Lägg till behörigheter.

    Bild av API-åtkomst och API-val.

    Anteckning

    Du måste välja rätt behörighet för ditt scenario. Läs alla incidenter är bara ett exempel. Information om vilken behörighet du behöver finns i avsnittet Behörigheter i det API du vill anropa.

    Om du till exempel vill köra avancerade frågorväljer du behörigheten Kör avancerade frågor. om du vill isolera enenhet väljer du behörigheten "Isolera dator".

  5. Välj Bevilja administratörsmedgivande. Varje gång du lägger till en behörighet måste du välja Ge administratörsmedgivande för att den ska gälla.

    Bild av bevilja behörigheter.

  6. Spela in ditt program-ID och ditt klient-ID på ett säkert ställe. De visas under Översikt din programsida.

    Bild av skapat program-ID.

Hämta en åtkomsttoken

Mer information om hur Azure Active Directory token finns i självstudiekursen för Azure AD.

Hämta en åtkomsttoken med Hjälp av PowerShell

if(!(Get-Package adal.ps)) { Install-Package -Name adal.ps } # Install the ADAL.PS package in case it's not already present

$tenantId = '' # Paste your directory (tenant) ID here.
$clientId = '' # Paste your application (client) ID here.
$redirectUri = '' # Paste your app's redirection URI

$authority = "https://login.windows.net/$tenantId"
$resourceUrl = 'https://api.security.microsoft.com'

$response = Get-ADALToken -Resource $resourceUrl -ClientId $clientId -RedirectUri $redirectUri -Authority $authority -PromptBehavior:Always
$response.AccessToken | clip

$response.AccessToken

Verifiera token

  1. Kopiera och klistra in tokenet i JWT för att avkoda det.
  2. Kontrollera att rollerna som anges i den avkodade token innehåller de önskade behörigheterna.

På följande bild kan du se en avkodad token som köpts från en app, med Incidents.Read.All Incidents.ReadWrite.All , och AdvancedHunting.Read.All behörigheter:

Bild på tokenverifiering.

Använda tokenet för att komma åt Microsoft 365 Defender API

  1. Välj det API du vill använda (ärenden eller avancerad sökning). Mer information finns i API:er som Microsoft 365 Defender.
  2. I http-begäran som du håller på att skicka anger du auktoriseringsrubriken till , Bearer som auktoriseringsschema och token som din "Bearer" <token> verifierade token.
  3. Tokenet förfaller inom en timme. Du kan skicka mer än en begäran under denna tid med samma token.

I följande exempel visas hur du skickar en begäran om att få en lista över incidenter med hjälp av C#.

    var httpClient = new HttpClient();
    var request = new HttpRequestMessage(HttpMethod.Get, "https://api.security.microsoft.com/api/incidents");

    request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);

    var response = httpClient.SendAsync(request).GetAwaiter().GetResult();