0

我正在尝试从Microsoft Graph Security API检索安全事件和/或警报。最终目标是获得EOP事件。

当我提交请求时:

GET https://graph.microsoft.com/v1.0/security/alerts

我明白了:

HTTP/1.1 206 Partial Content
Cache-Control: private
Warning: 199 - "Microsoft/WDATP/401/16"
Content-Type: application/json;odata.metadata=minimal;odata.streaming=true;IEEE754Compatible=false;charset=utf-8
request-id: [REDACTED]
client-request-id: [REDACTED]
x-ms-ags-diagnostic: {"ServerInfo":{"DataCenter":"West US","Slice":"SliceC","Ring":"5","ScaleUnit":"003","Host":"AGSFE_IN_22","ADSiteName":"WUS"}}
OData-Version: 4.0
Duration: 399.4425
Strict-Transport-Security: max-age=31536000
Date: Thu, 18 Oct 2018 00:36:42 GMT
Content-Length: 90

{"@odata.context":"https://graph.microsoft.com/v1.0/$metadata#Security/alerts","value":[]}

我觉得值得注意的是,我在 Office 365 安全与合规中心的报告仪表板上看到了总共 11 次尝试和今天 1 次尝试的网络钓鱼活动警报(真是满嘴)。

我试图将其视为正确的 206,但未设置 Accept-Ranges,HEAD不允许,并且传递不会Range: bytes=0-10000改变任何内容。我还注意到{Vendor}/{Provider}/{StatusCode}/{LatencyInMs}Warning: 199 - "Microsoft/WDATP/401/16"之后的标题,但我不确定它为什么会发生。即使它正在发生,我也需要 EOP 日志,而不是 Windows Defender ATP 日志,所以我希望我可以忽略它。

附加信息:

  • 我按照本文档设置了应用程序(除了我授予 SecurityEvents.Read.All 作为应用程序权限)。
  • 我正在使用 Python 请求,并且只设置Authorization标题(除了我在处理Range标题时)。我也用 Fiddler 试过这个。
  • 我的组织有 EOP(随 Exchange 提供),但没有 Office 365 ATP。让 ATP 工作会很好,但不是必需的。获取 EOP 日志/事件/警报/无论我的邮件目标是什么。

编辑:EOP 日志的解决方案 我终于找到了一个以编程方式获取 EOP 日志的端点。访问它的用户不能拥有 MFA,并且存在一些记录不充分的速率限制,但除此之外它看起来不错。有关详细信息,请参阅此页面。具体来说,我GET 这个页面查看我的权限,GET 这个页面查看消息(不要被浏览器的 RSS 提要视图所迷惑,那里有很多数据)。

4

1 回答 1

1

您没有从安全 API 收到任何警报的原因是 Office 365 目前尚未完全集成到 API。Office 365 在Microsoft Graph 安全 API页面上的当前提供程序列表中列为即将推出。

从您收到的警告标题中,您似乎拥有 WDATP 订阅,但在 WDATP 中没有所需的角色。为了从 WDATP 获取警报,用户必须具有正确的角色才能查看警报。WDATP 中所需的权限是View data访问门户和 API 以获取警报以及Investigate alerts在 WDATP 中修补警报。有关添加所需角色的步骤,请阅读为基于角色的访问控制创建和管理角色

如果您想从安全 API 获取警报,您可以在 Azure 安全中心注册试用并在您的租户中生成警报。

如何生成 ASC 警报: 在您的计算机上安装安全中心代理后,从您希望成为警报受攻击资源的计算机执行以下步骤:

  1. 将可执行文件(例如 calc.exe)复制到计算机桌面或您方便的其他目录。
  2. 将此文件重命名为 ASC_AlertTest_662jfi039N.exe。
  3. 打开命令提示符并使用参数(只是一个假参数名称)执行此文件,例如:ASC_AlertTest_662jfi039N.exe -foo
于 2018-10-19T23:21:05.570 回答