我正在尝试从Microsoft Graph Security API检索安全事件和/或警报。最终目标是获得EOP事件。
当我提交请求时:
GET https://graph.microsoft.com/v1.0/security/alerts
我明白了:
HTTP/1.1 206 Partial Content
Cache-Control: private
Warning: 199 - "Microsoft/WDATP/401/16"
Content-Type: application/json;odata.metadata=minimal;odata.streaming=true;IEEE754Compatible=false;charset=utf-8
request-id: [REDACTED]
client-request-id: [REDACTED]
x-ms-ags-diagnostic: {"ServerInfo":{"DataCenter":"West US","Slice":"SliceC","Ring":"5","ScaleUnit":"003","Host":"AGSFE_IN_22","ADSiteName":"WUS"}}
OData-Version: 4.0
Duration: 399.4425
Strict-Transport-Security: max-age=31536000
Date: Thu, 18 Oct 2018 00:36:42 GMT
Content-Length: 90
{"@odata.context":"https://graph.microsoft.com/v1.0/$metadata#Security/alerts","value":[]}
我觉得值得注意的是,我在 Office 365 安全与合规中心的报告仪表板上看到了总共 11 次尝试和今天 1 次尝试的网络钓鱼活动警报(真是满嘴)。
我试图将其视为正确的 206,但未设置 Accept-Ranges,HEAD不允许,并且传递不会Range: bytes=0-10000改变任何内容。我还注意到{Vendor}/{Provider}/{StatusCode}/{LatencyInMs}Warning: 199 - "Microsoft/WDATP/401/16"之后的标题,但我不确定它为什么会发生。即使它正在发生,我也需要 EOP 日志,而不是 Windows Defender ATP 日志,所以我希望我可以忽略它。
附加信息:
- 我按照本文档设置了应用程序(除了我授予 SecurityEvents.Read.All 作为应用程序权限)。
- 我正在使用 Python 请求,并且只设置
Authorization标题(除了我在处理Range标题时)。我也用 Fiddler 试过这个。 - 我的组织有 EOP(随 Exchange 提供),但没有 Office 365 ATP。让 ATP 工作会很好,但不是必需的。获取 EOP 日志/事件/警报/无论我的邮件目标是什么。
编辑:EOP 日志的解决方案
我终于找到了一个以编程方式获取 EOP 日志的端点。访问它的用户不能拥有 MFA,并且存在一些记录不充分的速率限制,但除此之外它看起来不错。有关详细信息,请参阅此页面。具体来说,我GET 这个页面查看我的权限,GET 这个页面查看消息(不要被浏览器的 RSS 提要视图所迷惑,那里有很多数据)。