Defender EASM REST API'sinin Doğrulaması

Microsoft Defender Harici Saldırı Yüzeyi Yönetimi (Defender EASM) kaynağına karşı yapılan her REST API çağrısı, geçerli bir Azure AD Taşıyıcı Tokenı içeren bir Yetkilendirme başlığı içermelidir. Bu token, arayan kişinin kim olduğunu ve kaynak içinde neye erişebileceğini belirlemek için kullanılır. Token, etkileşimli bir kullanıcı kimlik doğrulama akışı veya bir istemci hizmet prensibi aracılığıyla oluşturulabilir.

Kullanıcı kimlik doğrulama akışı

Kullanıcı Doğrulama senaryosu test ve geliştirme amaçları için faydalıdır, ancak bazı betik senaryoları için uygulanabilir olmayabilir. Kullanıcı kimlik doğrulama yoluyla token oluşturmak, tarayıcı üzerinden giriş yapmayı içeren etkileşimli bir akış gerektirir. Tüm işlemler Azure Command-Line Arayüzü (CLI) kullanımını kabul eder.

  1. Kiracınıza giriş yapın. Bu adım, doğru giriş adımlarını gerçekleştirmek için bir web tarayıcısını başlatır.

    az login --tenant <tenant id>
    
  2. Doğru kaynak kapsamı için ilişkili bir token oluşturun. Bu belirteç, Authentication başlığı içinde kullanılır.

    Kontrol Düzlemi

    az account get-access-token
    

    Veri Düzlemi

    az account get-access-token --scope 'https://easm.defender.microsoft.com/.default'
    

Müşteri hizmeti prensipi

İstemci Hizmet Başyapısı senaryosu, "talep üzerine" token üretimi gerektiren arka plan süreçleri (örneğin scriptler) için faydalıdır. İstemci hizmet prensi aracılığıyla token oluşturmak, bir uygulamanın ilişkili bir istemci gizriyle kaydedilmesini ve uygun abonelik erişim kontrollerinin olmasını gerektirir:

  1. Portalın Uygulama kayıtları bölümü üzerinden bir uygulama oluşturun.
  2. Sertifikalar ve sırlar bölümünde Yeni istemci sırrı seçeneğine tıklayın, gerekli bilgileri girin ve sırrı oluşturun. Oluşturulan değeri kopyaladığınızdan emin olun, çünkü bölümden ayrıldığınızda kullanılamaz hale gelir.
  3. Yönetici kullanılacağı aboneliği açın.
  4. Access Control (IAM) bölümünde Add -> Add Role Assignment tıklayın.
  5. Katkıda Bulunan rolünü seçin ve sonra Sonraki'ye tıklayın.
  6. Üyeleri Seç'e tıklayın, 1. adımda kayıtlı uygulamayı arayın, uygulamayı seçin ve ardından Seç'e tıklayın.
  7. Sonraki'ye tıklayın, bilgileri doğru olduğundan emin olmak için gözden geçirin, ardından İncele + Ata'ya tıklayın.

Uygulama kurulduktan sonra, istemci (uygulama) kimliği ve gizli kullanılarak ilişkili bir token oluşturulabilir. Tüm işlemler Azure Command-Line Arayüzü (CLI) kullanımını kabul eder.

  1. Hizmet başkanınıza giriş yapın.

    az login --service-principal -u <client id> -p <client secret> --tenant <tenant id>
    
  2. Doğru kaynak kapsamı için ilişkili bir token oluşturun. Bu belirteç, Authentication başlığı içinde kullanılır.

    Kontrol Düzlemi

    az account get-access-token
    

    Veri Düzlemi

    az account get-access-token --scope 'https://easm.defender.microsoft.com/.default'