Usando a API do Microsoft Defender for Endpoint com o MDE KIT
outubro 18, 2023
O que é o Microsoft Defender for Endpoint?
O Microsoft Defender para Ponto de Extremidade é uma plataforma empresarial para a segurança de ponto de extremidade projetada para ajudar a prevenir, detectar, investigar e responder a ameaças avançadas.
Gerenciando dispositivos com o Defender for Endpoint
Algumas tarefas de gerenciamento de dispositivos pelo Microsoft Defender for Endpoint acabam tendo poucos recursos de gerenciamento pela interface gráfica, um bom exemplo é a execução de tarefas de Scan de antivírus para dispositivos em massa, pelo Intune é possível executar uma tarefa de Scan para vários dispositivos ao mesmo tempo desde que eles tenham um malware ativo ou não estejam íntegros, nesse caso ele lista os dispositivos nessas condições no portal do Endpoint Security e permite realizar a ação em massa.
Porém quando há necessidade de executar uma ação de Scan em vários dispositivos que não estejam em uma das condições mencionadas não temos uma opção gráfica, com isso conseguimos utilizar a API do Defender for Endpoint que permite realizar algumas ações como a mencionada no exemplo, além de algumas opções de relatórios.
o Jeff Michelmore desenvolveu um modulo do Powershell que conecta nessa API e já disponibilizar alguns comandos para facilitar essa interação, o modulo pode ser baixado pelo: https://github.com/JeffMichelmore/MDEKit.git
A ideia desse post é mostrar o passo a passo necessário para a configuração do Modulo e utilização dele.
Utilizando o Modulo MDE KIT
O primeiro passo é registrar a aplicação no Entra ID no Portal do https://entra.microsoft.com em Aplications > App Registration > New Registration
As permissões necessárias para registrar um aplicativo no Entra ID podem ser encontradas aqui: Delegar permissões de administrador de gerenciamento de aplicativos – Microsoft Entra | Aprenda com a Microsoft
Após conceder as informações básicas para registro o aplicativo será registrado, ao acessá-lo dentro da guia API Permissions > APIs my organization uses selecionar a API do WindowsDefenderATP e conceder as permissões listadas na tabela a seguir:
| Tipo de permissão | Permissão | Nome de exibição da permissão |
| Aplicação | Machine.Read.All | ‘Leia todos os perfis de máquina’ |
| Aplicação | Machine.ReadWrite.All | ‘Ler e gravar todas as informações da máquina’ |
| Aplicação | Machine.CollectForensics | ‘Colete perícias’ |
| Aplicação | Máquina.Isolar | ‘Isolar máquina’ |
| Aplicação | Machine.LiveResponse | ‘Executar resposta ao vivo em uma máquina específica’ |
| Aplicação | Machine.RestrictExecution | ‘Restringir a execução de código’ |
| Aplicação | Machine.Scan | ‘Máquina de digitalização’ |
| Aplicação | Machine.Offboard | ‘Máquina offboard’ |
| Aplicação | Machine.StopAndQuarentena | ‘Pare e faça quarentena’ |
| Aplicação | Vulnerabilidade.Read.All | ‘Ler informações de vulnerabilidade do Gerenciamento de Ameaças e Vulnerabilidades’ |
| Aplicação | Software.Read.All | ‘Ler informações do software de gerenciamento de ameaças e vulnerabilidades’ |
| Aplicação | Alert.Read.All | ‘Leia todos os alertas’ |
| Aplicação | Alert.ReadWrite.All | ‘Ler e escrever todos os alertas’ |
| Aplicação | SecurityRecommendation.Read.All | ‘Ler informações de recomendação de segurança do Gerenciamento de Ameaças e Vulnerabilidades’ |
Após isso é necessário dar consentimento de administrador da organização
Após isso acessar a guia Certificates & Secrets > Client Secrets > New Client Secrets dentro da aplicação registrada para criação do app secret key.
A recomendação da Microsoft é que seja utilizado o tempo de expiração de 180 dias, um período maior do que o recomendado pode ser configurado, mas deve ser muito bem avaliado.
Após a expiração do Client Secret será necessário criar um novo Client Secret e substituir as informações no modulo do MDE KIT: https://learn.microsoft.com/pt-br/azure/active-directory/develop/howto-create-service-principal-portal#option-3-create-a-new-client-secret
Copie as informações de ID do Aplicativo (Cliente), ID do Tenant e o valor do Cliente Secret:
Baixar o PSM1 do diretório do GitHub a seguir: https://github.com/JeffMichelmore/MDEKit.git
Copiar o PSM1 para um diretório local e alterar as informações para as coletadas:
Para importar o modulo baixado executar o comando e ele vai exibir a lista de comandos baixados:
Import-Module -Name ‘C:\Scripts\MDEKIT\MDEKit.psm1’ -Verbose
Nesse exemplo executei o comando Show-MachineActionsMenu e executei a opção 5 para executar um Full Scan.
Quando executamos a opção é possível importar um CSV com diversos dispositivos ou inserir manualmente um único dispositivo e selecionar entre um Full Scan e um Quick Scan e na sequência ele inicia a tarefa.
Em meu ambiente levou cerca de 15 minutos para iniciar o processo no dispositivo alvo, foi possível verificar a conclusão da execução no Event Viewer e no painel do Defender do dispositivo:
Recomendações: O uso do MDE KIT deve ser destinado somente aos administradores de segurança que gerenciam o Defender for Endpoint, por se tratar de um modulo do Powershell com conexão direta as permissões de API seu uso deve ser restrito e bem avaliado para evitar falhas de segurança na organização.
Conclusão
Com as mais modernas ameaças que vem surgindo no cenário corporativo é imprescindível que se tenha uma solução de proteção de endpoint com capacidade de análise e mitigação de possíveis riscos e ameaças, o Microsoft Defender for Endpoint fornece proteção de ponta para garantir esse nível de segurança e foi eleito como uma das melhores soluções do segmento pelo Gartner. Ref: Microsoft a Leader in the 2022 Gartner® Magic Quadrant™ for Endpoint Protection Platforms | Microsoft Security Blog