重要
高级搜寻功能不包括在Defender 商业版中。
Defender for Endpoint 通过一组编程 API 公开其大部分数据和作。 这些 API 使你能够自动执行工作流,并根据 Defender for Endpoint 功能进行创新。 API 访问需要 OAuth2.0 身份验证。 有关详细信息,请参阅 OAuth 2.0 授权代码流。
观看此视频,快速了解 Defender for Endpoint 的 API。
通常,需要执行以下步骤才能使用 API:
- 创建Microsoft Entra应用程序
- 使用此应用程序获取访问令牌
- 使用令牌访问 Defender for Endpoint API
可以使用 应用程序上下文 或 用户上下文访问 Defender for Endpoint API。
应用程序上下文: (建议)
供运行且没有登录用户的应用使用。 例如,作为后台服务或守护程序运行的应用。
访问具有应用程序上下文的 Defender for Endpoint API 需要执行的步骤:
创建Microsoft Entra Web 应用程序。
为应用程序分配所需的权限,例如“读取警报”、“隔离计算机”。
为此应用程序创建密钥。
使用应用程序及其密钥获取令牌。
使用令牌访问Microsoft Defender for Endpoint API
有关详细信息,请参阅 使用应用程序上下文获取访问权限。
用户上下文:
用于代表用户执行 API 中的作。
使用用户上下文访问 Defender for Endpoint API 的步骤:
创建 Microsoft Entra Native-Application。
为应用程序分配所需的权限,例如“读取警报”、“隔离计算机”等。
使用具有用户凭据的应用程序获取令牌。
使用令牌访问Microsoft Defender for Endpoint API
有关详细信息,请参阅 使用用户上下文获取访问权限。
提示
当需要多个查询请求来检索所有结果时,Microsoft Graph 在响应中返回一个 @odata.nextLink 属性,该属性包含指向下一页结果的 URL。 有关详细信息,请参阅在应用中对 Microsoft Graph 数据进行分页。
相关主题
- Microsoft Defender for Endpoint API
- 使用应用程序上下文访问Microsoft Defender for Endpoint
- 使用用户上下文访问Microsoft Defender for Endpoint
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。