PSMDATP:一款针对MDATP的PowerShell管理模块

admin
admin
admin
139225
文章
114
评论
2020年11月25日19:40:24评论50 views字数 2002阅读6分40秒阅读模式

PSMDATP:一款针对MDATP的PowerShell管理模块

PSMDATP

PSMDATP是一款针对Microsoft Defender ATP的PowerShell管理模块,这个工具本质上来说是一个易于使用的命令行工具,广大研究人员可以使用PSMDATP来访问和使用 Microsoft Defender Advanced Threat Protection(MDATP) API。

这个工具是一个针对MDATP的PowerShell模块,它的主要特性如下:

  • 可以帮助大家提升PowerShell技术;

  • 提供了一种更加简单的方法并通过PowerShell来与MDATP进行交互,并自动化实现某些任务;

工具要求

  • Windows PowerShell 5.1;

  • 通过在AzureAD中注册应用程序配置访问授权;

应用程序权限

下面给出的是我们必须授权的应用程序权限列表样例:

PSMDATP:一款针对MDATP的PowerShell管理模块

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/alexverboon/PSMDATP.git




工具使用


如需使用该功能模块,我们可以打开PowerShell命令行终端,然后通过PSGallery来安装该模块,安装命令如下:


Install-Module PSMDATP -Scope CurrentUser




应用程序注册


初始配置


当你安装好该工具并在AzureAD中注册好应用程序之后,你将会在该项目的Module文件夹中看到一个名为TEMPLATE_PoshMTPconfig.json的文件。现在,我们需要将该文件改名为PoshMTPConfig.json,然后在其中输入API设置。接下来,将该文件拷贝到Module文件夹下的主路径。


配置样例:


"C:UsersUser1DocumentsWindowsPowerShellModulesPSMDATP"
───PSMDATP
│   │   PoshMTPconfig.json
│   │
│   └───0.0.2
PSMDATP.psd1
PSMDATP.psm1
TEMPLATE_PoshMTPconfig.json




当前版本的PSMDATP PowerShell模块进要求提供API_MDATP信息:


{
    "API_MDATP":  {
                      "AppName":  "WindowsDefenderATPPSMDATP",
                      "OAuthUri":  "https://login.windows.net/<YOUR TENANT ID>/oauth2/token",
                      "ClientID":  "CLIENT ID",
                      "ClientSecret":  "<CLIENT SECRET>"
                  },
    "API_MSGRAPH":  {
                        "AppName":  "xMSGraph",
                        "OAuthUri":  "https://login.windows.net/<YOUR TENANT ID>/oauth2/token",
                        "ClientID":  "<CLIENT ID>",
                        "ClientSecret":  "<CLIENT SECRET>"
                    }
}




工具使用样例


枚举已包含的命令行工具


首先,我们可以使用下列命令查看PSMDATP模块所包含的命令行工具:


get-command -Module PSMDATP | Select Name




命令执行结果如下:


Add-MDATPDeviceTag
Add-MDATPIndicator{
Get-MDATPAlert
Get-MDATPCollectionPackageUri
Get-MDATPDevice
Get-MDATPDeviceAction
Get-MDATPDeviceTag
Get-MDATPIndicator
Get-MDATPInvestigation
Get-MDATPQuery
Get-MDATPTvmRecommendation
Get-MDATPTvmVulnerability
Remove-MDATPDevice
Remove-MDATPDeviceTag
Remove-MDATPIndicator
Start-MDATPAppRestriction
Start-MDATPAVScan
Start-MDATPInvestigation
Start-MDATPInvestigationPackageCollection
Start-MDATPIsolation
Stop-MDATPAppRestriction
Stop-MDATPIsolation




获取MDATP警报


运行下列命令即可获取过去30天内所有接收到的MDATP警报:


Get-MDATPAlert -PastHours 720




枚举MDATP设备


运行下列命令即可列举所有MDATP注册的设备:


Get-MDATPDevice -All




项目地址


PSMDATP:https://github.com/alexverboon/PSMDATP








PSMDATP:一款针对MDATP的PowerShell管理模块























精彩推荐




























PSMDATP:一款针对MDATP的PowerShell管理模块



PSMDATP:一款针对MDATP的PowerShell管理模块PSMDATP:一款针对MDATP的PowerShell管理模块

















PSMDATP:一款针对MDATP的PowerShell管理模块PSMDATP:一款针对MDATP的PowerShell管理模块PSMDATP:一款针对MDATP的PowerShell管理模块



PSMDATP:一款针对MDATP的PowerShell管理模块









本文始发于微信公众号(FreeBuf):PSMDATP:一款针对MDATP的PowerShell管理模块

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年11月25日19:40:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   PSMDATP:一款针对MDATP的PowerShell管理模块https://cn-sec.com/archives/190619.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息