Я пытаюсь получить события безопасности и / или предупреждения из Microsoft Graph Security API .Конечной целью является получение EOP событий.
Когда я отправляю запрос:
GET https://graph.microsoft.com/v1.0/security/alerts
Я получаю это:
HTTP/1.1 206 Partial Content
Cache-Control: private
Warning: 199 - "Microsoft/WDATP/401/16"
Content-Type: application/json;odata.metadata=minimal;odata.streaming=true;IEEE754Compatible=false;charset=utf-8
request-id: [REDACTED]
client-request-id: [REDACTED]
x-ms-ags-diagnostic: {"ServerInfo":{"DataCenter":"West US","Slice":"SliceC","Ring":"5","ScaleUnit":"003","Host":"AGSFE_IN_22","ADSiteName":"WUS"}}
OData-Version: 4.0
Duration: 399.4425
Strict-Transport-Security: max-age=31536000
Date: Thu, 18 Oct 2018 00:36:42 GMT
Content-Length: 90
{"@odata.context":"https://graph.microsoft.com/v1.0/$metadata#Security/alerts","value":[]}
Мне кажется, стоит отметить, что я вижу предупреждение о фишинговой кампании с 11 попытками и 1 попыткой сегодня в Центре безопасности и соответствия требованиям Office 365.Панель инструментов отчетов (что за глоток).
Я пытался относиться к ней как к правильному 206, но Accept-Ranges не установлен, HEAD не разрешен, и передача Range: bytes=0-10000 ничего не меняет.Я также заметил заголовок Warning: 199 - "Microsoft/WDATP/401/16", , который следует за {Vendor} / {Provider} / {StatusCode} / {LatencyInMs} , но я не уверен, почему это происходит.Даже если это происходит, мне нужны журналы EOP, а не журналы ATP Защитника Windows, поэтому я надеюсь, что могу проигнорировать это.
Дополнительная информация:
- Я настроил приложение следующим образом этот документ (за исключением того, что я предоставил SecurityEvents.Read.All в качестве разрешения приложения).
- Я использую запросы Python и задаю только заголовок
Authorization (кроме случаев, когда я былвозиться с заголовком Range).Я также пробовал это с Fiddler. - В моей организации есть EOP (поставляется с Exchange), но не Office 365 ATP.Начало работы ATP было бы неплохо, но не обязательно.Получение журналов EOP / событий / предупреждений / независимо от цели моей почты.
РЕДАКТИРОВАТЬ: РЕШЕНИЕ ДЛЯ ЛОГЕЙ EOP Я наконец нашел конечную точку для программного получения журналов EOP.Пользователь, получающий доступ к нему, не может иметь MFA, и есть некоторые плохо документированные ограничения скорости, но в остальном это выглядит хорошо.Подробнее см. на этой странице .В частности, я GET на этой странице для просмотра моих разрешений и GET на этой странице для просмотра сообщений (не обманывайте себя просмотром RSS-каналов вашего браузера, естьмного данных там).