Achtung: die Defender365 API erwartet mindestens einen "Defender for Business" in der Lizenz. Diese sind aktuell verfügbar ( Stand 09.01.24) :
- als ADD-ON zu P1/P2 Plänen
- M365 Business Premium
Oft ist das Problem das folgendes Feature in den Plänen fehlt "Vulnerability Management (Core)".
Bitte stellen Sie sicher , dass ihre Lizenz eine dieser Pläne inkludiert, ansonsten ist ein Monitoring nicht möglich!
Nachdem dies geprüft wurde sollte überprüft werden, dass bereits eine Anwendung existiert in deinem Azure-AD. Falls nicht, befolge bitte diese Anleitung:
Wie erstelle ich eine Anwendung für den Zugriff auf mein Azure?
Zusätzlich benötigt der Defender noch weitere Leserechte um alle Informationen über die Endpunkte abrufen zu können.
Dazu muss unter API-Berechtigungen folgendes noch ergänzt werden:
Die Berechtigungen finden sich unter "Von meiner Organisation verwendete APIs". Dort lässt sich die Kategorie "WindowsDefenderATP" finden. Unter "Anwendungsberechtigungen" müssen noch folgende Rechte erteilt werden:
- Alert.ReadAll
- Machine.Read.All
- SecurityRecommendation.Read.All
- Vulnerability.Read.All
Das sollte danach so aussehen in der entsprechenden Anwendung:
WICHTIG: Die Berechtigungen greifen nur wenn danach nochmal explizit durch den Administrator diese gewährt wurden!