Bem-vindo ao módulo Microsoft Defender Advanced Threat Protection PowerShell: PSMDATP
Este módulo é uma coleção de cmdlets e funções fáceis de usar projetadas para facilitar a interface com a API de Proteção contra Ameaças Avançadas do Microsoft Defender.
Motivação
Criei este módulo PowerShell para MDATP pelas seguintes razões:
- Avance minhas habilidades no PowerShell
- Forneça uma maneira fácil de interagir com o MDATP através do PowerShell, porque eu prefiro automação em vez de tarefas manuais
Pré-requisitos
- Windows PowerShell 5.1 (Testes para PowerShell 7 está em andamento)
- configuraram autorização para acesso registrando um aplicativo no AzureAD
Permissões de aplicativos
Abaixo está um exemplo das Permissões de Aplicativos que você deve conceder. Vou fornecer mais detalhes em breve sobre os cmdlets individuais e as permissões necessárias
Começando
Para começar com o módulo, abra o terminal PowerShell e instale o módulo a partir do PSGallery executando este comando simples:
Instalação-módulo PSMDATP -Escopo Atual
Registro de Aplicativos
Configuração inicial
When you have installed the module and registered the App in AzureAD, you will find a file TEMPLATE_PoshMTPconfig.json in the Module folder. Rename this file to PoshMTPConfig.json and enter your API settings. Then copy the file in the root of the Module folder.
- Example:
"C:\Users\User1\Documents\WindowsPowerShell\Modules\PSMDATP" ───PSMDATP │ │ PoshMTPconfig.json │ │ │ └───0.0.2 │ PSMDATP.psd1 │ PSMDATP.psm1 │ TEMPLATE_PoshMTPconfig.json
At present the PSMDATP PowerShell module only requires the API_MDATP information
{ "API_MDATP": { "AppName": "WindowsDefenderATPPSMDATP", "OAuthUri": "https://login.windows.net/<YOUR TENANT ID>/oauth2/token", "ClientID": "CLIENT ID", "ClientSecret": "<CLIENT SECRET>" }, "API_MSGRAPH": { "AppName": "xMSGraph", "OAuthUri": "https://login.windows.net/<YOUR TENANT ID>/oauth2/token", "ClientID": "<CLIENT ID>", "ClientSecret": "<CLIENT SECRET>" } }
Importante
Eu vou assumir que você está familiarizado com mDATP como tal e entender as consequências de desencadear ações em dispositivos. Quando aplicável, os cmdlets suportam o uso do parâmetro -whatif. Pense antes de pressionar a chave!
Executando seus primeiros comandos
- Lista incluída cmdlets
Vamos primeiro dar uma olhada nos cmdlets incluídos no Módulo PSMDATP
get-command -Module PSMDATP | Selecione Nome
Você vai ver algo assim
Add-MDATPDeviceTag
Add-MDATPIndicator{ Get-MDATPAlert
Get-MDATPCollectionPackageUri
Get-MDATPDevice
Get-MDATPDeviceAction
Get-MDATPDeviceTag
Get-MDATPIndicator
Get-MDATPInvestigation
Get-MDATPQuery Get-MDATPTvmRecommendation Get-Get-MDATPTvmVulnerability Remove-MDATPDevice Remove-MDATPDeviceTag Remove-MDATPIndicator Start-MDATPAppRestriction Start-MDATPAVScan Start-MDATPInvestigation Start-MDATPInvestigationPackageCollection Start-MDATPIsolation Stop-MDATPAppRestriction Stop-MDATPAppRestriction Stop-MDATP
Para obter mais detalhes sobre os cmdlets incluídos neste módulo, confira a página de documentação dos cmdlets
- Recuperar alertas MDATP
Execute o seguinte comando para recuperar alertas dos últimos 30 dias
Get-MDATPAlert -PastHours 720
- Liste dispositivos MDATP
Execute o seguinte comando para listar todos os dispositivos registrados do MDATP
Get-MDATPDevice -All
FONTE: KALI LINUX TUTORIALS