Criar uma aplicação para aceder a Microsoft Defender para Endpoint sem um utilizador

Ao utilizar APIs, poderá precisar de acesso a Microsoft Defender para Endpoint sem um utilizador. Por exemplo, poderá querer criar um serviço que é executado em segundo plano e que interage com o Defender para Endpoint em nome da sua organização. Neste caso, tem de criar uma aplicação que possa aceder ao Defender para Endpoint sem um utilizador.

O acesso à API requer autenticação OAuth2.0.

Pré-requisitos

Ter a função de Microsoft Entra para criar uma aplicação no Azure. Por exemplo, Administrador de Aplicações.

Passo 1: criar uma aplicação no Azure

1. Inicie sessão no portal do Azure.

2. Procure Registos de aplicações e navegue para Registos de aplicações.

3. Selecione Novo registo.

4. Escolha um nome para a sua aplicação e, em seguida, selecione Registar.

5. Na página da sua aplicação, aceda a Gerir > Permissões > de API Adicionar APIs de permissão > que a minha organização utiliza.

6. Na página Pedir permissões da API , procure WindowsDefenderATP e selecione-o.

7. Selecione o tipo de permissões necessárias e, em seguida, selecione Adicionar permissões.

   • Permissões delegadas – inicie sessão com a sua aplicação como se fosse um utilizador.

   • Permissões de aplicação – aceda à API como um serviço.

8. Selecione as permissões adequadas para a sua aplicação. Para determinar de que permissão precisa, veja a secção Permissões na API que está a chamar. Eis dois exemplos:

   • Para executar consultas avançadas, selecione Executar consultas avançadas.

   • Para isolar um dispositivo, selecione Isolar máquina.

9. Selecione Adicionar permissão.

Passo 2: adicionar um segredo à sua aplicação

Esta secção descreve a autenticação da sua aplicação através de um segredo da aplicação. Para autenticar a sua aplicação com um certificado, veja Criar um certificado público autoassinado para autenticar a sua aplicação.

1. Na página da aplicação, selecione Certificados & segredos>Novo segredo do cliente.

2. No painel Adicionar um segredo do cliente , adicione uma descrição e uma data de expiração.

3. Selecione Adicionar.

4. Copie o Valor do segredo que criou. Não poderá obter este valor depois de sair da página.

5. Na página de descrição geral da aplicação, copie o ID da Aplicação (cliente) e o ID do Diretório (inquilino). Precisa deste ID para autenticar a sua aplicação.

6. Anote o ID da aplicação e o ID do inquilino. Na página da aplicação, aceda a Descrição geral e copie o seguinte.

Aplicações multi-inquilino

Microsoft Defender para Endpoint parceiros têm de definir as aplicações para serem multi-inquilinos. Defina a sua aplicação como uma aplicação multi-inquilino se estiver a planear criar uma aplicação que será executada nos inquilinos de vários clientes.

1. Na página Azure aplicação, aceda a Gerir > Autenticação.

2. Adicionar uma plataforma.

3. No painel Configurar plataformas , selecione Web.

4. Adicione https://portal.azure.com aos URIs de Redirecionamento e selecione Configurar.

5. Nas opções Tipos de conta suportados , selecione Contas em qualquer diretório organizacional e selecione Guardar.

Depois de executar a sua aplicação, tem de a aprovar em cada inquilino onde pretende utilizá-la. Isto deve-se ao facto de a sua aplicação interagir com o Defender para Endpoint em nome do cliente. O utilizador ou o cliente terão de selecionar a ligação de consentimento e aprovar a sua aplicação. Dê consentimento a um utilizador que tenha privilégios de administrador.

Eis como formar a ligação de consentimento. Substitua pelo 00000000-0000-0000-0000-000000000000 ID da aplicação.

https://login.microsoftonline.com/common/oauth2/authorize?prompt=consent&client_id=00000000-0000-0000-0000-000000000000&response_type=code&sso_reload=true

Obter um token de acesso

Esta secção lista alguns métodos para obter o token de acesso da sua aplicação.

# This script acquires the App Context Token and stores it in the variable $token for later use.
# Paste your Tenant ID, App ID, and App Secret (App key) into the quotes below.

$tenantId = '' ### Paste your tenant ID here
$appId = '' ### Paste your Application ID here
$appSecret = '' ### Paste your Application key here

$sourceAppIdUri = 'https://api.securitycenter.microsoft.com/.default'
$oAuthUri = "https://login.microsoftonline.com/$TenantId/oauth2/v2.0/token"
$authBody = [Ordered] @{
    scope = "$sourceAppIdUri"
    client_id = "$appId"
    client_secret = "$appSecret"
    grant_type = 'client_credentials'
}
$authResponse = Invoke-RestMethod -Method Post -Uri $oAuthUri -Body $authBody -ErrorAction Stop
$token = $authResponse.access_token
$token

Validar o token

Siga o processo nesta secção para garantir que obteve o token correto. Pode enviar mais do que um pedido com o mesmo token. O token expira dentro de uma hora.

1. Copie e cole o token no JWT para o descodificar.

2. Confirme que obtém uma afirmação de funções com as permissões pretendidas.

Utilizar o token para aceder à API Microsoft Defender para Endpoint

1. Escolha a API que pretende utilizar.

2. Defina o cabeçalho de autorização no http pedido que envia para Bearer {token}. Portador é o esquema de autorização.

Exemplos:

Este exemplo envia um pedido para obter uma lista de alertas com C#.

var httpClient = new HttpClient();
var request = new HttpRequestMessage(HttpMethod.Get, "https://api.securitycenter.microsoft.com/api/alerts");
request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);
var response = httpClient.SendAsync(request).GetAwaiter().GetResult();