PSMDATP : Módulo PowerShell para gerenciamento de proteção avançada contra ameaças do Microsoft Defender

Views: 170
0 0
Read Time:2 Minute, 17 Second

Bem-vindo ao módulo Microsoft Defender Advanced Threat Protection PowerShell: PSMDATP

Este módulo é uma coleção de cmdlets e funções fáceis de usar projetadas para facilitar a interface com a API de Proteção contra Ameaças Avançadas do Microsoft Defender.

Motivação

Criei este módulo PowerShell para MDATP pelas seguintes razões:

  1. Avance minhas habilidades no PowerShell
  2. Forneça uma maneira fácil de interagir com o MDATP através do PowerShell, porque eu prefiro automação em vez de tarefas manuais

Pré-requisitos

  • Windows PowerShell 5.1 (Testes para PowerShell 7 está em andamento)
  • configuraram autorização para acesso registrando um aplicativo no AzureAD

Permissões de aplicativos

Abaixo está um exemplo das Permissões de Aplicativos que você deve conceder. Vou fornecer mais detalhes em breve sobre os cmdlets individuais e as permissões necessárias

Começando

Para começar com o módulo, abra o terminal PowerShell e instale o módulo a partir do PSGallery executando este comando simples:

Instalação-módulo PSMDATP -Escopo Atual

Registro de Aplicativos

Configuração inicial

When you have installed the module and registered the App in AzureAD, you will find a file TEMPLATE_PoshMTPconfig.json in the Module folder. Rename this file to PoshMTPConfig.json and enter your API settings. Then copy the file in the root of the Module folder.

  • Example:
"C:\Users\User1\Documents\WindowsPowerShell\Modules\PSMDATP"
───PSMDATP
│   │   PoshMTPconfig.json
│   │
│   └───0.0.2
│           PSMDATP.psd1
│           PSMDATP.psm1
│           TEMPLATE_PoshMTPconfig.json

At present the PSMDATP PowerShell module only requires the API_MDATP information

{
    "API_MDATP":  {
                      "AppName":  "WindowsDefenderATPPSMDATP",
                      "OAuthUri":  "https://login.windows.net/<YOUR TENANT ID>/oauth2/token",
                      "ClientID":  "CLIENT ID",
                      "ClientSecret":  "<CLIENT SECRET>"
                  },
    "API_MSGRAPH":  {
                        "AppName":  "xMSGraph",
                        "OAuthUri":  "https://login.windows.net/<YOUR TENANT ID>/oauth2/token",
                        "ClientID":  "<CLIENT ID>",
                        "ClientSecret":  "<CLIENT SECRET>"
                    }
}

Importante

Eu vou assumir que você está familiarizado com mDATP como tal e entender as consequências de desencadear ações em dispositivos. Quando aplicável, os cmdlets suportam o uso do parâmetro -whatif. Pense antes de pressionar a chave!

Executando seus primeiros comandos

  • Lista incluída cmdlets

Vamos primeiro dar uma olhada nos cmdlets incluídos no Módulo PSMDATP

get-command -Module PSMDATP | Selecione Nome

Você vai ver algo assim

Add-MDATPDeviceTag

Add-MDATPIndicator{ Get-MDATPAlert
Get-MDATPCollectionPackageUri
Get-MDATPDevice
Get-MDATPDeviceAction
Get-MDATPDeviceTag
Get-MDATPIndicator
Get-MDATPInvestigation

Get-MDATPQuery Get-MDATPTvmRecommendation Get-Get-MDATPTvmVulnerability Remove-MDATPDevice Remove-MDATPDeviceTag Remove-MDATPIndicator Start-MDATPAppRestriction Start-MDATPAVScan Start-MDATPInvestigation Start-MDATPInvestigationPackageCollection Start-MDATPIsolation Stop-MDATPAppRestriction Stop-MDATPAppRestriction Stop-MDATP

Para obter mais detalhes sobre os cmdlets incluídos neste módulo, confira a página de documentação dos cmdlets

  • Recuperar alertas MDATP

Execute o seguinte comando para recuperar alertas dos últimos 30 dias

Get-MDATPAlert -PastHours 720

  • Liste dispositivos MDATP

Execute o seguinte comando para listar todos os dispositivos registrados do MDATP

Get-MDATPDevice -All

FONTE: KALI LINUX TUTORIALS

Previous post 9 dicas para se preparar para o futuro da segurança da nuvem e da rede
Next post Google Play remove mais 17 aplicativos Android com malware espião

Deixe um comentário