Vytvoření aplikace pro přístup k rozhraním API Microsoft Defender XDR jménem uživatele

Platí pro:

• Microsoft Defender XDR

Tato stránka popisuje, jak vytvořit aplikaci pro získání programového přístupu k Microsoft DefenderU XDR jménem jednoho uživatele.

Pokud potřebujete programový přístup k Microsoft DefenderU XDR bez definovaného uživatele (například pokud píšete aplikaci na pozadí nebo démona), přečtěte si téma Vytvoření aplikace pro přístup k Microsoft DefenderU XDR bez uživatele. Pokud potřebujete poskytnout přístup pro více tenantů , například pokud obsluhujete velkou organizaci nebo skupinu zákazníků, přečtěte si téma Vytvoření aplikace s přístupem partnera k rozhraním API Microsoft Defender XDR. Pokud si nejste jistí, jaký druh přístupu potřebujete, přečtěte si téma Začínáme.

Microsoft Defender XDR zveřejňuje většinu svých dat a akcí prostřednictvím sady programových rozhraní API. Tato rozhraní API pomáhají automatizovat pracovní postupy a využívat funkce XDR v programu Microsoft Defender. Tento přístup rozhraní API vyžaduje ověřování OAuth 2.0. Další informace najdete v tématu Tok autorizačního kódu OAuth 2.0.

Obecně platí, že k použití těchto rozhraní API budete muset provést následující kroky:

• Vytvořte aplikaci Microsoft Entra.
• Získání přístupového tokenu pomocí této aplikace
• Token použijte pro přístup k rozhraní MICROSOFT Defender XDR API.

Tento článek vysvětluje, jak:

• Vytvoření aplikace Microsoft Entra
• Získání přístupového tokenu pro Microsoft Defender XDR
• Ověření tokenu

Vytvoření aplikace

1. Přihlaste se k Azure jako uživatel s rolí globálního správce .

2. Přejděte na Microsoft Entra ID>Registrace> aplikacíNová registrace.

   

3. Ve formuláři zvolte název aplikace, zadejte následující informace pro identifikátor URI přesměrování a pak vyberte Zaregistrovat.

   

   • Typ aplikace: Veřejný klient
   • Identifikátor URI přesměrování:https://portal.azure.com

4. Na stránce aplikace vyberte Oprávnění> rozhraní API Přidat rozhraní APIoprávnění>, kterápoužívá> moje organizace, zadejte Microsoft Threat Protection a vyberte Microsoft Threat Protection. Vaše aplikace teď má přístup k Microsoft DefenderU XDR.

   Tip

   Microsoft Threat Protection je dřívější název pro Microsoft Defender XDR a v původním seznamu se nezobrazí. Aby se zobrazilo, musíte začít psát jeho název do textového pole.

   

   • Zvolte Delegovaná oprávnění. Zvolte příslušná oprávnění pro váš scénář (například Incident.Read) a pak vyberte Přidat oprávnění.

     

   Poznámka

   Musíte vybrat příslušná oprávnění pro váš scénář. Čtení všech incidentů je jenom příklad. Pokud chcete zjistit, jaké oprávnění potřebujete, projděte si část Oprávnění v rozhraní API, které chcete volat.

   Pokud například chcete spouštět rozšířené dotazy, vyberte oprávnění Spustit rozšířené dotazy. Pokud chcete izolovat zařízení, vyberte oprávnění Izolovat počítač.

5. Vyberte Udělit souhlas správce. Pokaždé, když přidáte oprávnění, musíte vybrat Udělit souhlas správce , aby se toto oprávnění projevilo.

   

6. Poznamenejte si ID aplikace a ID tenanta na bezpečném místu. Jsou uvedené v části Přehled na stránce vaší aplikace.

   

Získání přístupového tokenu

Další informace o tokenech Microsoft Entra najdete v kurzu Microsoft Entra.

Získání přístupového tokenu jménem uživatele pomocí PowerShellu

Pomocí knihovny MSAL.PS můžete získat přístupové tokeny s delegovanými oprávněními. Spuštěním následujících příkazů získejte přístupový token jménem uživatele:

Install-Module -Name MSAL.PS # Install the MSAL.PS module from PowerShell Gallery

$TenantId = " " # Paste your directory (tenant) ID here.
$AppClientId="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" # Paste your application (client) ID here.

$MsalParams = @{
   ClientId = $AppClientId
   TenantId = $TenantId
   Scopes   = 'https://graph.microsoft.com/User.Read.All','https://graph.microsoft.com/Files.ReadWrite','https://api.securitycenter.windows.com/AdvancedQuery.Read'
}

$MsalResponse = Get-MsalToken @MsalParams
$AccessToken  = $MsalResponse.AccessToken
 
$AccessToken # Display the token in PS console

Ověření tokenu

1. Zkopírujte token a vložte ho do JWT a dekódujte ho.
2. Ujistěte se, že deklarace identity rolí v dekódovaném tokenu obsahuje požadovaná oprávnění.

Na následujícím obrázku vidíte dekódovaný token získaný z aplikace s oprávněními Incidents.Read.All, Incidents.ReadWrite.Alla AdvancedHunting.Read.All :

Použití tokenu pro přístup k rozhraní MICROSOFT Defender XDR API

1. Zvolte rozhraní API, které chcete použít (incidenty nebo rozšířené proaktivní vyhledávání). Další informace najdete v tématu Podporovaná rozhraní API XDR programu Microsoft Defender.
2. V požadavku HTTP, který se chystáte odeslat, nastavte autorizační hlavičku na "Bearer" <token>, Bearer je autorizační schéma a token je váš ověřený token.
3. Platnost tokenu vyprší do jedné hodiny. Během této doby můžete odeslat více než jednu žádost se stejným tokenem.

Následující příklad ukazuje, jak odeslat žádost o získání seznamu incidentů pomocí jazyka C#.

    var httpClient = new HttpClient();
    var request = new HttpRequestMessage(HttpMethod.Get, "https://api.security.microsoft.com/api/incidents");

    request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);

    var response = httpClient.SendAsync(request).GetAwaiter().GetResult();

Související články

• Přehled rozhraní API XDR v programu Microsoft Defender
• Přístup k rozhraníM API XDR programu Microsoft Defender
• Vytvoření aplikace Hello world
• Vytvoření aplikace pro přístup k Microsoft DefenderU XDR bez uživatele
• Vytvoření aplikace s přístupem partnera s více tenanty k rozhraníM API Microsoft Defender XDR
• Informace o limitech a licencování rozhraní API
• Vysvětlení kódů chyb
• Autorizace OAuth 2.0 pro přihlašování uživatelů a přístup k rozhraní API