这篇文章主要介绍“什么是PSMDATP”,在日常操作中,相信很多人在什么是PSMDATP问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”什么是PSMDATP”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!
PSMDATP是一款针对Microsoft Defender ATP的PowerShell管理模块,这个工具本质上来说是一个易于使用的命令行工具,广大研究人员可以使用PSMDATP来访问和使用 Microsoft Defender Advanced Threat Protection(MDATP) API。
这个工具是一个针对MDATP的PowerShell模块,它的主要特性如下:
可以帮助大家提升PowerShell技术;
提供了一种更加简单的方法并通过PowerShell来与MDATP进行交互,并自动化实现某些任务;
Windows PowerShell 5.1;
通过在AzureAD中注册应用程序配置访问授权;
下面给出的是我们必须授权的应用程序权限列表样例:
广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/alexverboon/PSMDATP.git
如需使用该功能模块,我们可以打开PowerShell命令行终端,然后通过PSGallery来安装该模块,安装命令如下:
Install-Module PSMDATP -Scope CurrentUser
当你安装好该工具并在AzureAD中注册好应用程序之后,你将会在该项目的Module文件夹中看到一个名为TEMPLATE_PoshMTPconfig.json的文件。现在,我们需要将该文件改名为PoshMTPConfig.json,然后在其中输入API设置。接下来,将该文件拷贝到Module文件夹下的主路径。
配置样例:
"C:\Users\User1\Documents\WindowsPowerShell\Modules\PSMDATP" ───PSMDATP │ │ PoshMTPconfig.json │ │ │ └───0.0.2 │ PSMDATP.psd1 │ PSMDATP.psm1 │ TEMPLATE_PoshMTPconfig.json
当前版本的PSMDATP PowerShell模块进要求提供API_MDATP信息:
{ "API_MDATP": { "AppName": "WindowsDefenderATPPSMDATP", "OAuthUri": "https://login.windows.net/<YOUR TENANT ID>/oauth3/token", "ClientID": "CLIENT ID", "ClientSecret": "<CLIENT SECRET>" }, "API_MSGRAPH": { "AppName": "xMSGraph", "OAuthUri": "https://login.windows.net/<YOUR TENANT ID>/oauth3/token", "ClientID": "<CLIENT ID>", "ClientSecret": "<CLIENT SECRET>" } }
首先,我们可以使用下列命令查看PSMDATP模块所包含的命令行工具:
get-command -Module PSMDATP | Select Name
命令执行结果如下:
Add-MDATPDeviceTag Add-MDATPIndicator{ Get-MDATPAlert Get-MDATPCollectionPackageUri Get-MDATPDevice Get-MDATPDeviceAction Get-MDATPDeviceTag Get-MDATPIndicator Get-MDATPInvestigation Get-MDATPQuery Get-MDATPTvmRecommendation Get-MDATPTvmVulnerability Remove-MDATPDevice Remove-MDATPDeviceTag Remove-MDATPIndicator Start-MDATPAppRestriction Start-MDATPAVScan Start-MDATPInvestigation Start-MDATPInvestigationPackageCollection Start-MDATPIsolation Stop-MDATPAppRestriction Stop-MDATPIsolation
运行下列命令即可获取过去30天内所有接收到的MDATP警报:
Get-MDATPAlert -PastHours 720
运行下列命令即可列举所有MDATP注册的设备:
Get-MDATPDevice -All
到此,关于“什么是PSMDATP”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注亿速云网站,小编会继续努力为大家带来更多实用的文章!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。