我正在尝试从Microsoft Graph Security API检索安全事件和/或警报。最终目标是获得EOP个事件。
我提交请求时:
GET https://graph.microsoft.com/v1.0/security/alerts
我明白了:
HTTP/1.1 206 Partial Content
Cache-Control: private
Warning: 199 - "Microsoft/WDATP/401/16"
Content-Type: application/json;odata.metadata=minimal;odata.streaming=true;IEEE754Compatible=false;charset=utf-8
request-id: [REDACTED]
client-request-id: [REDACTED]
x-ms-ags-diagnostic: {"ServerInfo":{"DataCenter":"West US","Slice":"SliceC","Ring":"5","ScaleUnit":"003","Host":"AGSFE_IN_22","ADSiteName":"WUS"}}
OData-Version: 4.0
Duration: 399.4425
Strict-Transport-Security: max-age=31536000
Date: Thu, 18 Oct 2018 00:36:42 GMT
Content-Length: 90
{"@odata.context":"https://graph.microsoft.com/v1.0/$metadata#Security/alerts","value":[]}
我觉得值得一提的是,我在Office 365安全和合规中心的“报告”仪表板上看到了一个针对网络钓鱼活动的警报,该警报总共进行了11次尝试,今天进行了1次尝试。
我尝试将其视为适当的206,但是未设置Accept-Ranges,不允许HEAD,并且传递Range: bytes=0-10000并没有改变。我还注意到Warning: 199 - "Microsoft/WDATP/401/16"标头which follows {Vendor}/{Provider}/{StatusCode}/{LatencyInMs},但是我不确定为什么会这样。即使发生这种情况,我也需要EOP日志,而不是Windows Defender ATP日志,因此我希望可以忽略它。
其他信息:
Authorization标头(除非我弄乱了Range标头)。我也在Fiddler上尝试过。 编辑:EOP日志解决方案
我终于找到了以编程方式获取EOP日志的端点。访问它的用户不能拥有MFA,并且有一些不良的速率限制记录在案,但否则看起来不错。有关详细信息,请参见this page。具体来说,我GET this page查看我的权限,GET this page查看消息(不要被浏览器的RSS feed视图所欺骗,有很多那里的数据)。
答案 0 :(得分:1)
您没有从安全API收到任何警报的原因是因为Office 365目前尚未完全集成到API。在Microsoft Graph Security API页上的当前提供程序列表中,即将列出Office 365。
从收到的警告标头中,您似乎已订阅WDATP,但在WDATP中没有必需的角色。
为了从WDATP获得警报,用户必须具有正确的角色才能查看警报。 WDATP中需要View data来访问门户和API以获取警报,而Investigate alerts则需要WDATP中的PATCH警报。有关添加所需角色的步骤,请阅读Create and manage roles for role-based access control。
如果要从Security API获取警报,可以在Azure安全中心注册试用版,并在租户中生成警报。
如何生成ASC警报: 在计算机上安装了Security Center代理之后,请从要用作警报的受攻击资源的计算机上按照以下步骤操作: