Я пытаюсь получить события безопасности и / или предупреждения из Microsoft Graph Security API. Конечная цель - получить события EOP .
Когда я отправляю запрос:
GET https://graph.microsoft.com/v1.0/security/alerts
Я понял:
HTTP/1.1 206 Partial Content
Cache-Control: private
Warning: 199 - "Microsoft/WDATP/401/16"
Content-Type: application/json;odata.metadata=minimal;odata.streaming=true;IEEE754Compatible=false;charset=utf-8
request-id: [REDACTED]
client-request-id: [REDACTED]
x-ms-ags-diagnostic: {"ServerInfo":{"DataCenter":"West US","Slice":"SliceC","Ring":"5","ScaleUnit":"003","Host":"AGSFE_IN_22","ADSiteName":"WUS"}}
OData-Version: 4.0
Duration: 399.4425
Strict-Transport-Security: max-age=31536000
Date: Thu, 18 Oct 2018 00:36:42 GMT
Content-Length: 90
{"@odata.context":"https://graph.microsoft.com/v1.0/$metadata#Security/alerts","value":[]}
Я считаю, что стоит отметить, что я вижу предупреждение о фишинговой кампании с 11 попытками всего и 1 попыткой сегодня на панели отчетов Центра безопасности и соответствия требованиям Office 365 (что за полнота).
Я пытался относиться к нему как к правильному 206, но Accept-Ranges не установлен, HEAD
не разрешен, а передача Range: bytes=0-10000
ничего не меняет. Я также заметил заголовок Warning: 199 - "Microsoft/WDATP/401/16"
, , который следует за {Vendor} / {Provider} / {StatusCode} / {LatencyInMs}, но я не понимаю, почему это происходит. Даже если это происходит, мне нужны журналы EOP, а не журналы ATP Защитника Windows, поэтому я надеюсь, что смогу проигнорировать это.
Дополнительная информация:
- Я установил приложение, следуя этому документу (за исключением того, что я предоставил SecurityEvents.Read.All как разрешение приложения).
- Я использую запросы Python и устанавливаю только заголовок
Authorization
(за исключением случая, когда я возился с заголовкомRange
). Я также пробовал это с Fiddler. - В моей организации есть EOP (поставляется с Exchange), но нет Office 365 ATP. Было бы неплохо заставить работать ATP, но это не обязательно. Получение журналов EOP / событий / предупреждений / всего, что является моей целью для электронной почты.
РЕДАКТИРОВАТЬ: РЕШЕНИЕ ДЛЯ ЖУРНАЛОВ EOP Я наконец нашел конечную точку для программного получения журналов EOP. Пользователь, обращающийся к нему, не может иметь MFA, и есть некоторые плохо задокументированные ограничения скорости, но в остальном это выглядит хорошо. Подробнее см. эту страницу. В частности, я GET
эту страницу, чтобы просмотреть свои разрешения, и GET
эту страницу для просмотра сообщений (не дайте себя обмануть RSS-каналу вашего браузера вид, там данных очень много).