Creación de una aplicación para acceder a Microsoft Defender para punto de conexión sin un usuario

Al usar las API, es posible que necesite acceso a Microsoft Defender para punto de conexión sin un usuario. Por ejemplo, es posible que quiera crear un servicio que se ejecute en segundo plano e interactúe con Defender para punto de conexión en nombre de su organización. En este caso, debe crear una aplicación que pueda acceder a Defender para punto de conexión sin un usuario.

El acceso a la API requiere la autenticación de OAuth2.0.

Requisitos previos

Tener el rol Microsoft Entra para crear una aplicación en Azure. Por ejemplo, Administrador de aplicaciones.

Paso 1: Crear una aplicación en Azure

1. Inicie sesión en el portal de Azure.

2. Busque Registros de aplicaciones y vaya a Registros de aplicaciones.

3. Seleccione Nuevo registro.

4. Elija un nombre para la aplicación y, a continuación, seleccione Registrar.

5. En la página de la aplicación, vaya a Administrar > permisos > de API Agregar API de permisos > que usa mi organización.

6. En la página Solicitar permisos de API , busque WindowsDefenderATP y selecciónelo.

7. Seleccione el tipo de permisos que necesita y, a continuación, seleccione Agregar permisos.

   • Permisos delegados : inicie sesión con la aplicación como si fuera un usuario.

   • Permisos de aplicación : acceso a la API como servicio.

8. Seleccione los permisos adecuados para la aplicación. Para determinar qué permiso necesita, consulte la sección Permisos de la API a la que llama. A continuación, se indican dos ejemplos:

   • Para ejecutar consultas avanzadas, seleccione Ejecutar consultas avanzadas.

   • Para aislar un dispositivo, seleccione Aislar equipo.

9. Seleccione Agregar permiso.

Paso 2: Agregar un secreto a la aplicación

En esta sección se describe la autenticación de la aplicación mediante un secreto de aplicación. Para autenticar la aplicación mediante un certificado, consulte Creación de un certificado público autofirmado para autenticar la aplicación.

1. En la página de la aplicación, seleccione Certificados & secretos>Nuevo secreto de cliente.

2. En el panel Agregar un secreto de cliente , agregue una descripción y una fecha de expiración.

3. Seleccione Agregar.

4. Copie el valor del secreto que creó. No podrá recuperar este valor después de salir de la página.

5. En la página de información general de la aplicación, copie el identificador de aplicación (cliente) y el identificador de directorio (inquilino). Necesita este identificador para autenticar la aplicación.

6. Anote el identificador de la aplicación y el identificador de inquilino. En la página de la aplicación, vaya a Información general y copie lo siguiente.

Aplicaciones multiinquilino

Microsoft Defender para punto de conexión asociados deben establecer sus aplicaciones para que sean multiinquilino. Establezca la aplicación como una aplicación multiinquilino si tiene previsto crear una aplicación que se ejecutará en varios inquilinos de clientes.

1. En la página Azure aplicación, vaya a Administrar > autenticación.

2. Agregue una plataforma.

3. En el panel Configurar plataformas , seleccione Web.

4. Agregue https://portal.azure.com a URI de redirección y seleccione Configurar.

5. En las opciones Tipos de cuenta admitidos , seleccione Cuentas en cualquier directorio organizativo y seleccione Guardar.

Una vez que ejecute la aplicación, debe aprobarla en cada inquilino en el que quiera usarla. Esto se debe a que la aplicación interactúa con Defender para punto de conexión en nombre del cliente. Usted o su cliente tendrán que seleccionar el vínculo de consentimiento y aprobar la aplicación. Dé su consentimiento a un usuario que tenga privilegios de administrador.

A continuación se muestra cómo formar el vínculo de consentimiento. Reemplace por 00000000-0000-0000-0000-000000000000 el identificador de la aplicación.

https://login.microsoftonline.com/common/oauth2/authorize?prompt=consent&client_id=00000000-0000-0000-0000-000000000000&response_type=code&sso_reload=true

Obtener un token de acceso

En esta sección se enumeran algunos métodos para obtener el token de acceso de la aplicación.

# This script acquires the App Context Token and stores it in the variable $token for later use.
# Paste your Tenant ID, App ID, and App Secret (App key) into the quotes below.

$tenantId = '' ### Paste your tenant ID here
$appId = '' ### Paste your Application ID here
$appSecret = '' ### Paste your Application key here

$sourceAppIdUri = 'https://api.securitycenter.microsoft.com/.default'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/v2.0/token"
$authBody = [Ordered] @{
    scope = "$sourceAppIdUri"
    client_id = "$appId"
    client_secret = "$appSecret"
    grant_type = 'client_credentials'
}
$authResponse = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $authBody -ErrorAction Stop
$token = $authResponse.access_token
$token

Validar el token

Siga el proceso de esta sección para asegurarse de que obtuvo el token correcto. Puede enviar más de una solicitud con el mismo token. El token expira en una hora.

1. Copie y pegue el token en JWT para descodificarlo.

2. Valide que obtiene una notificación de roles con los permisos deseados.

Uso del token para acceder a Microsoft Defender para punto de conexión API

1. Elija la API que desea usar.

2. Establezca el encabezado de autorización en la http solicitud que envíe a Bearer {token}. Portador es el esquema de autorización.

Ejemplo

En este ejemplo se envía una solicitud para obtener una lista de alertas mediante C#.

var httpClient = new HttpClient();
var request = new HttpRequestMessage(HttpMethod.Get, "https://api.securitycenter.microsoft.com/api/alerts");
request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);
var response = httpClient.SendAsync(request).GetAwaiter().GetResult();