Breaking

Wednesday, September 30, 2020

Home / Shell / PSMDATP

PSMDATP

by on in

 Kang IT

PSMDATP - Modul PowerShell Untuk Mengelola Perlindungan Ancaman Lanjutan Microsoft Defender


Selamat datang di modul Microsoft Defender Advanced Threat Protection PowerShell!

Modul ini adalah kumpulan cmdlet dan fungsi yang mudah digunakan yang dirancang untuk memudahkan antarmuka dengan Microsoft Defender Advanced Threat Protection API.



Motivasi

Saya membuat modul PowerShell ini untuk MDATP karena alasan berikut:

  1. Tingkatkan keterampilan PowerShell saya
  2. Sediakan cara mudah untuk berinteraksi dengan MDATP melalui PowerShell karena saya lebih suka otomatisasi daripada tugas manual


Prasyarat

  • Windows PowerShell 5.1 (Pengujian untuk PowerShell 7 sedang berlangsung)
  • telah mengonfigurasi otorisasi untuk akses dengan mendaftarkan aplikasi di AzureAD


Izin aplikasi

Di bawah ini adalah contoh Izin Aplikasi yang harus Anda berikan. Saya akan segera memberikan detail selengkapnya tentang cmdlet individu dan izin yang diperlukan



Mulai

Untuk memulai modul, buka terminal PowerShell Anda dan instal modul dari PSGallery dengan menjalankan perintah sederhana ini:

Install-Module PSMDATP -Scope CurrentUser


Konfigurasi Awal Pendaftaran Aplikasi


Ketika Anda telah menginstal modul dan mendaftarkan Aplikasi di AzureAD, Anda akan menemukan file TEMPLATE_PoshMTPconfig.json di folder Modul. Ubah nama file ini menjadi PoshMTPConfig.json dan masukkan pengaturan API Anda. Kemudian salin file di root folder Modul.

Contoh:

"C:\Users\User1\Documents\WindowsPowerShell\Modules\PSMDATP"
───PSMDATP
│   │   PoshMTPconfig.json
│   │
│   └───0.0.2
│           PSMDATP.psd1
│           PSMDATP.psm1
│           TEMPLATE_PoshMTPconfig.json

Saat ini modul PSMDATP PowerShell hanya membutuhkan informasi API_MDATP

{
    "API_MDATP":  {
                      "AppName":  "WindowsDefenderATPPSMDATP",
                      "OAuthUri":  "https://login.windows.net/<YOUR TENANT ID>/oauth2/token",
                      "ClientID":  "CLIENT ID",
                      "ClientSecret":  "<CLIENT SECRET>"
                  },
    "API_MSGRAPH":  {
                        "AppName":  "xMSGraph",
                        "OAuthUri":  "https://login.windows.net/<YOUR TENANT ID>/oauth2/token",
                        "ClientID":  "<CLIENT ID>",
                        "ClientSecret":  "<CLIENT SECRET>"
                    }
}


Penting

Saya akan berasumsi bahwa Anda sudah familiar dengan MDATP dan memahami konsekuensi dari memicu tindakan pada perangkat. Jika memungkinkan, cmdlet mendukung penggunaan parameter -whatif . Pikirkan sebelum menekan tombol!


Menjalankan perintah pertama Anda

Daftar termasuk cmdlet

Pertama-tama mari kita lihat cmdlet yang disertakan dalam Modul PSMDATP

get-command -Module PSMDATP | Select Name

Anda akan melihat sesuatu seperti ini

Add-MDATPDeviceTag
Add-MDATPIndicator{
Get-MDATPAlert
Get-MDATPCollectionPackageUri
Get-MDATPDevice
Get-MDATPDeviceAction
Get-MDATPDeviceTag
Get-MDATPIndicator
Get-MDATPInvestigation
Get-MDATPQuery
Get-MDATPTvmRecommendation
Get-MDATPTvmVulnerability
Remove-MDATPDevice
Remove-MDATPDeviceTag
Remove-MDATPIndicator
Start-MDATPAppRestriction
Start-MDATPAVScan
Start-MDATPInvestigation
Start-MDATPInvestigationPackageCollection
Start-MDATPIsolation
Stop-MDATPAppRestriction
Stop-MDATPIsolation

Untuk detail lebih lanjut tentang cmdlet yang disertakan dalam modul ini, lihat halaman dokumentasi cmdlet


Ambil Peringatan MDATP

Jalankan perintah berikut untuk mengambil peringatan dari 30 hari terakhir

Get-MDATPAlert -PastHours 720


Buat daftar Perangkat MDATP

Jalankan perintah berikut untuk mendaftar semua perangkat MDATP yang terdaftar

Get-MDATPDevice -All


Penulis

Twitter Alex Verboon


Kredit

Saya menggunakan Catesta untuk proyek ini





Regards

Kang IT

Author Image

About Muhammad Sobri Maulana
Saya sangat menyukai dunia Kedokteran dan Teknologi.

Related Posts:
By at
Labels:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)