API безопасности Microsoft Graph - проблема с https://graph.microsoft.com/beta/security/tiIndicators
Я пытаюсь использовать API индикаторов угроз Microsoft Graph API на основе рекомендованного службой Azure способа интеграции источников аналитики угроз для передачи IOC в экземпляр Sentinel. Я выполняю следующие шаги в linux curl, чтобы проверить функциональность:
Получите токен OAuth от Microsoft, используя:
curl -X POST -d 'grant_type=client_credentials&client_id=[myClientId]&client_secret=[myAppSecret]&scope=openid profile ThreatIndicators.ReadWrite.OwnedBy' https://login.microsoftonline.com/[myTenantId]/oauth2/token
Используя полученный токен-носитель, вызывая следующий API: curl -X GET -H "Authorization: Bearer [access token]" https://graph.microsoft.com/beta/security/tiIndicators
Я получаю указанную ниже ошибку:
{
"error": {
"code": "InvalidAuthenticationToken",
"message": "Access token validation failure. Invalid audience.",
"innerError": {
"request-id": "########################",
"date": "2019-12-19T07:41:51"
}
}
У кого-нибудь есть идея, как это использовать? Основной мотив - использовать POST-запрос графического API для вставки индикаторов угроз в Azure Sentinel.
1 ответ
Использовать resource скорее, чем scope в теле запроса для конечной точки токена V1.0.
curl -X POST -d 'grant_type=client_credentials&client_id=[myClientId]&client_secret=[myAppSecret]&resource=https://graph.microsoft.com' https://login.microsoftonline.com/[myTenantId]/oauth2/token
ИЛИ (конечная точка токена V2.0, как показано ниже)
curl -X POST -d 'grant_type=client_credentials&client_id=[myClientId]&client_secret=[myAppSecret]&scope=https://graph.microsoft.com/.default' https://login.microsoftonline.com/[myTenantId]/oauth2/v2.0/token