API безопасности Microsoft Graph выдает 206 пустых значений

Я пытаюсь получить события безопасности и / или предупреждения из Microsoft Graph Security API. Конечная цель - получить события EOP .

Когда я отправляю запрос:

GET https://graph.microsoft.com/v1.0/security/alerts

Я понял:

HTTP/1.1 206 Partial Content
Cache-Control: private
Warning: 199 - "Microsoft/WDATP/401/16"
Content-Type: application/json;odata.metadata=minimal;odata.streaming=true;IEEE754Compatible=false;charset=utf-8
request-id: [REDACTED]
client-request-id: [REDACTED]
x-ms-ags-diagnostic: {"ServerInfo":{"DataCenter":"West US","Slice":"SliceC","Ring":"5","ScaleUnit":"003","Host":"AGSFE_IN_22","ADSiteName":"WUS"}}
OData-Version: 4.0
Duration: 399.4425
Strict-Transport-Security: max-age=31536000
Date: Thu, 18 Oct 2018 00:36:42 GMT
Content-Length: 90

{"@odata.context":"https://graph.microsoft.com/v1.0/$metadata#Security/alerts","value":[]}

Я считаю, что стоит отметить, что я вижу предупреждение о фишинговой кампании с 11 попытками всего и 1 попыткой сегодня на панели отчетов Центра безопасности и соответствия требованиям Office 365 (что за полнота).

Я пытался относиться к нему как к правильному 206, но Accept-Ranges не установлен, HEAD не разрешен, а передача Range: bytes=0-10000 ничего не меняет. Я также заметил заголовок Warning: 199 - "Microsoft/WDATP/401/16", , который следует за {Vendor} / {Provider} / {StatusCode} / {LatencyInMs}, но я не понимаю, почему это происходит. Даже если это происходит, мне нужны журналы EOP, а не журналы ATP Защитника Windows, поэтому я надеюсь, что смогу проигнорировать это.

Дополнительная информация:

  • Я установил приложение, следуя этому документу (за исключением того, что я предоставил SecurityEvents.Read.All как разрешение приложения).
  • Я использую запросы Python и устанавливаю только заголовок Authorization (за исключением случая, когда я возился с заголовком Range). Я также пробовал это с Fiddler.
  • В моей организации есть EOP (поставляется с Exchange), но нет Office 365 ATP. Было бы неплохо заставить работать ATP, но это не обязательно. Получение журналов EOP / событий / предупреждений / всего, что является моей целью для электронной почты.

РЕДАКТИРОВАТЬ: РЕШЕНИЕ ДЛЯ ЖУРНАЛОВ EOP Я наконец нашел конечную точку для программного получения журналов EOP. Пользователь, обращающийся к нему, не может иметь MFA, и есть некоторые плохо задокументированные ограничения скорости, но в остальном это выглядит хорошо. Подробнее см. эту страницу. В частности, я GET эту страницу, чтобы просмотреть свои разрешения, и GET эту страницу для просмотра сообщений (не дайте себя обмануть RSS-каналу вашего браузера вид, там данных очень много).


microsoft-graph-api office365 microsoft-graph-security
person Nelson Schramm    schedule 18.10.2018    source источник
comment
Какой у Вас вопрос? Почему список предупреждений пуст?   -  person Seiya Su    schedule 18.10.2018
comment
@SeiyaSu Да, мне интересно, почему значение пусто.   -  person Nelson Schramm    schedule 18.10.2018
comment
Если конфигурация предупреждения правильная, возможно, это ошибка ……   -  person Seiya Su    schedule 19.10.2018

Ответы (1)


arrow_upward
1
arrow_downward

Причина, по которой вы не получаете никаких предупреждений от Security API, заключается в том, что Office 365 не полностью интегрирован с API сегодня. Office 365 указан как скоро появится в списке текущих поставщиков на страница Microsoft Graph Security API.

Судя по заголовку предупреждения, которое вы получили, похоже, что у вас есть подписка на WDATP, но нет необходимой роли в WDATP. Чтобы получать предупреждения от WDATP, пользователь должен иметь правильные роли для просмотра предупреждений. В WDATP необходимы следующие разрешения: View data для доступа к порталу и API для получения предупреждений GET и Investigate alerts для предупреждений PATCH в WDATP. Инструкции по добавлению необходимых ролей см. В Создание ролей и управление ими для управления доступом на основе ролей.

Если вы хотите получать оповещения от API безопасности, вы можете зарегистрироваться для пробного использования в Центре безопасности Azure и сгенерировать оповещение в своем клиенте.

Как сгенерировать оповещение ASC: После установки агента центра безопасности на ваш компьютер выполните следующие действия с компьютера, на котором вы хотите стать атакованным ресурсом оповещения:

  1. Скопируйте исполняемый файл (например, calc.exe) на рабочий стол компьютера или в другой удобный вам каталог.
  2. Переименуйте этот файл в ASC_AlertTest_662jfi039N.exe.
  3. Откройте командную строку и выполните этот файл с аргументом (просто поддельным именем аргумента), например: ASC_AlertTest_662jfi039N.exe -foo
person Ekoval    schedule 19.10.2018