İlginizi Çekebilir
  1. Ana Sayfa
  2. EMS
  3. Microsoft Defender Security Center API Explorer Kullanımı

Microsoft Defender Security Center API Explorer Kullanımı

microsoft defender security-min

Bildiğiniz üzere son senelerde yapılan endpoint security projelerine baktığımız zaman yoğun bir şekilde Microsoft Defender‘ a geçiş olduğunu gözlemliyoruz. Endpoint security geçiş süreçleri her zaman sancılı olmuştur. Sancılı olmasındaki en büyük etken ise iki farklı ürünün davranışlarının farklı olmasıdır. Özellikle büyük organizasyonlarda bu sorun daha bariz ortaya çıkıyor. Bunu şu örnekle pekiştirmekte fayda var. Bildiğiniz üzere hypervizor seviyesinde koruma yapan endpoint security ürünleri mevcut. Siz varolan yapınızı buna göre dizayn etmiş olabilir cpu, memory gibi kaynakları buna göre yapılandırmış olabilirsiniz. Yaptığınız çalışma sonucunda sanal veya fiziksel sunucuda ajan tabanlı bir Antivirus ürününe geçtiğinizde kaynak kullanımı aynı olmayacaktır. Bu da yapınızdaki yükü arttıracaktır. Diğer taraftan tarama davranışları veya koruma mekanizmaları da farklı davranışlar sergileyecektir. Buraya kadar genel olarak bilgi vermeye çalıştım bu yazının amacı ise çok daha spesifik bir konuda olacaktır. Akılda kalması açısından basit bir örnekle açıklayalım. Varsayalım varolan yapınızda NAC mevcut ve bu da halihazırda varolan antivirus e göre tasarlanmış. Buraya kadar herşey güzel, fakat biz ürünümüzü Microsoft Defender ile değiştirmek istiyoruz. Kullanmış olduğumuz antivirüs sunucu üzerinde varken Defender ajanını etkinleştirdiğimiz zaman pasif modda çalışacaktır ve NAC da eğer en az bir defa Full Scan yapılmadan sisteme erişime izin verme ayarı mevcut ise, VPN vb erişimler bloklanacaktır. Bu sorun belki bir çoğunuzun karşısına çıkmayacaktır fakat çıktığı zaman aşağıdaki adımları izleyebilirsiniz.

https://securitycenter.windows.com/ portalda yetkili kullanıcı ile oturum açıyoruz. Partners & APIs sekmesi altında yer alan API explorer tıklıyoruz. Spesifik bir makinada portal üzerinden tarama başlatmak isterseniz ilgili sunucunun id sine ihtiyacınız olacaktır. Bunun için ilk olarak Device Inventory’ den ilgili sunucuyu tıkladıktan sonra aşağıdaki id yi bir yere kopyalıyorum ve API Explorer sayfama geri dönüyorum.

Resim-1

Aşağıdaki komutu kendi yapımıza göre uyarladıktan sonra query kısmında çalıştırıyorum.

https://api.securitycenter.windows.com/api/machines/3866dd4c7243f3b32fb0c79/runAntiVirusScan

{

“Comment”: “Running AV Full Scan on machine for NAC Policy”,

“ScanType”:”Full”

}

Komutum başarılı şekilde çalıştı.

Resim-2

Bir süre sonra taramanın başladığını gözlemliyorum. Eğer çok daha fazla sunucu için uygulamak isterseniz Logic App bu konuda imdadınıza yetişecektir ve Github üzerinde yeterli miktarda Query bulabilirsiniz.

Resim-3

Bu konuyla ilgili sorularınızı http://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/api-explorer

https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/pull-alerts-using-rest-api

https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/new-api-explorer-and-connected-applications/ba-p/860562

TAGs: , , , Microsoft Defender Security nedir

Yorum Yap

Yazar Hakkında

2008 yılından itibaren bilişim camiasının içerisindeyim. 11 Yıllık dönem içerisinde teknikerlikten başlayarak bir çok farklı pozisyonda çalıştım. Dünyanın en büyük sigorta şirketleri arasında yer alan Allianz Türkiye’ de Kıdemli Sistem Uzmanı olarak çalıştıktan sonra kariyerimde değişiklik yaparak UAE’ nin en büyük bankası Emirates NBD bankasında kıdemli teknoloji mühendisi olarak devam etmektiyim. Profesyonel iş yaşantımın dışında yönetim kadrosunda yer aldığım www.mshowto.org sitesinde gönüllü yazarlık ve yöneticilik yapmaktayım. 15+ konferansda konuşmacı olarak yer aldım. 150+ makale ve 7 E-Kitap yayınladım. İki defa TRT Kent Radyosunda söyleşi yapma deneyimini yaşadım. MCSE, MCPS, MS ve Tenable Certificate of Proficiency ünvanlarına sahibim. Aynı zamanda 2 yıl Microsoft Enterprise Mobility MVP ünvanına layık görüldükten sonra uzmanlık alanı değiştirerek Cloud and Datacenter MVP olarak devam etmekteyim.

Yorum Yap