温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

什么是PSMDATP

发布时间:2021-10-25 16:21:28 来源:亿速云 阅读:235 作者:iii 栏目:编程语言

这篇文章主要介绍“什么是PSMDATP”,在日常操作中,相信很多人在什么是PSMDATP问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”什么是PSMDATP”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!

PSMDATP

PSMDATP是一款针对Microsoft Defender ATP的PowerShell管理模块,这个工具本质上来说是一个易于使用的命令行工具,广大研究人员可以使用PSMDATP来访问和使用 Microsoft Defender Advanced Threat Protection(MDATP) API。

这个工具是一个针对MDATP的PowerShell模块,它的主要特性如下:

  • 可以帮助大家提升PowerShell技术;

  • 提供了一种更加简单的方法并通过PowerShell来与MDATP进行交互,并自动化实现某些任务;

工具要求

  • Windows PowerShell 5.1;

  • 通过在AzureAD中注册应用程序配置访问授权;

应用程序权限

下面给出的是我们必须授权的应用程序权限列表样例:

什么是PSMDATP

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/alexverboon/PSMDATP.git

工具使用

如需使用该功能模块,我们可以打开PowerShell命令行终端,然后通过PSGallery来安装该模块,安装命令如下:

Install-Module PSMDATP -Scope CurrentUser

应用程序注册

初始配置

当你安装好该工具并在AzureAD中注册好应用程序之后,你将会在该项目的Module文件夹中看到一个名为TEMPLATE_PoshMTPconfig.json的文件。现在,我们需要将该文件改名为PoshMTPConfig.json,然后在其中输入API设置。接下来,将该文件拷贝到Module文件夹下的主路径。

配置样例:

"C:\Users\User1\Documents\WindowsPowerShell\Modules\PSMDATP"

───PSMDATP

│   │   PoshMTPconfig.json

│   │

│   └───0.0.2

│           PSMDATP.psd1

│           PSMDATP.psm1

│           TEMPLATE_PoshMTPconfig.json

当前版本的PSMDATP PowerShell模块进要求提供API_MDATP信息:

{

    "API_MDATP":  {

                      "AppName":  "WindowsDefenderATPPSMDATP",

                      "OAuthUri":  "https://login.windows.net/<YOUR TENANT ID>/oauth3/token",

                      "ClientID":  "CLIENT ID",

                      "ClientSecret":  "<CLIENT SECRET>"

                  },

    "API_MSGRAPH":  {

                        "AppName":  "xMSGraph",

                        "OAuthUri":  "https://login.windows.net/<YOUR TENANT ID>/oauth3/token",

                        "ClientID":  "<CLIENT ID>",

                        "ClientSecret":  "<CLIENT SECRET>"

                    }

}

工具使用样例

枚举已包含的命令行工具

首先,我们可以使用下列命令查看PSMDATP模块所包含的命令行工具:

get-command -Module PSMDATP | Select Name

命令执行结果如下:

Add-MDATPDeviceTag

Add-MDATPIndicator{

Get-MDATPAlert

Get-MDATPCollectionPackageUri

Get-MDATPDevice

Get-MDATPDeviceAction

Get-MDATPDeviceTag

Get-MDATPIndicator

Get-MDATPInvestigation

Get-MDATPQuery

Get-MDATPTvmRecommendation

Get-MDATPTvmVulnerability

Remove-MDATPDevice

Remove-MDATPDeviceTag

Remove-MDATPIndicator

Start-MDATPAppRestriction

Start-MDATPAVScan

Start-MDATPInvestigation

Start-MDATPInvestigationPackageCollection

Start-MDATPIsolation

Stop-MDATPAppRestriction

Stop-MDATPIsolation

获取MDATP警报

运行下列命令即可获取过去30天内所有接收到的MDATP警报:

Get-MDATPAlert -PastHours 720

枚举MDATP设备

运行下列命令即可列举所有MDATP注册的设备:

Get-MDATPDevice -All

到此,关于“什么是PSMDATP”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注亿速云网站,小编会继续努力为大家带来更多实用的文章!

向AI问一下细节
推荐阅读:
  1. 什么是PHP
  2. 什么是python

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI