Aislar la API de máquina
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1 o Plan 2
- Microsoft Defender XDR
- Microsoft Defender para Empresas
Nota:
Si es cliente del Gobierno de EE. UU., use los URI que aparecen en Microsoft Defender para punto de conexión para los clientes del Gobierno de EE. UU.
Sugerencia
Para mejorar el rendimiento, puede usar el servidor más cercano a la ubicación geográfica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Descripción de la API
Aísla un dispositivo para que no acceda a la red externa.
Limitaciones
- Las limitaciones de velocidad de esta API son 100 llamadas por minuto y 1500 llamadas por hora.
Nota:
Esta página se centra en realizar una acción de máquina a través de la API. Consulte Realizar acciones de respuesta en una máquina para obtener más información sobre la funcionalidad de las acciones de respuesta a través de Microsoft Defender para punto de conexión.
Importante
- El aislamiento completo está disponible para dispositivos en Windows 10, versión 1703 y en Windows 11.
- El aislamiento completo está disponible para todos los dispositivos Linux compatibles. Consulte Microsoft Defender para punto de conexión en Linux.
- El aislamiento selectivo está disponible para dispositivos en Windows 10, versión 1709 o posterior y en Windows 11.
- Al aislar un dispositivo, solo se permiten determinados procesos y destinos. Por lo tanto, los dispositivos que están detrás de un túnel VPN completo no podrán acceder al servicio en la nube Microsoft Defender para punto de conexión después de que el dispositivo esté aislado. Se recomienda usar una VPN de túnel dividido para Microsoft Defender para punto de conexión y Microsoft Defender tráfico relacionado con la protección basada en la nube de Antivirus.
- Al llamar a esta API en dispositivos no administrados, se desencadena el dispositivo de contenido de la acción de red . El valor isolationType debe establecerse en "UnManagedDevice".
Permisos
Se requiere uno de los siguientes permisos para llamar a esta API. Para más información, incluido cómo elegir permisos, consulte Uso de api de Microsoft Defender para punto de conexión
| Tipo de permiso | Permiso | Nombre para mostrar del permiso |
|---|---|---|
| Aplicación | Machine.Isolate | "Aislar máquina" |
| Delegado (cuenta profesional o educativa) | Machine.Isolate | "Aislar máquina" |
Nota:
Al obtener un token con credenciales de usuario:
- El usuario debe tener al menos el siguiente permiso de rol: "Acciones de corrección activas". Para obtener más información, consulte Creación y administración de roles.
- El usuario debe tener acceso al dispositivo, en función de la configuración del grupo de dispositivos. Consulte Creación y administración de grupos de dispositivos para obtener más información.
La creación de grupos de dispositivos se admite en El plan 1 y el plan 2 de Defender para punto de conexión.
Solicitud HTTP
POST https://api.securitycenter.microsoft.com/api/machines/{id}/isolate
Encabezados de solicitud
| Nombre | Tipo | Descripción |
|---|---|---|
| Authorization | Cadena | {token} de portador. Necesario. |
| Content-Type | string | application/json. Necesario. |
Cuerpo de la solicitud
En el cuerpo de la solicitud, proporcione un objeto JSON con los parámetros siguientes:
| Parámetro | Tipo | Descripción |
|---|---|---|
| Comentario | Cadena | Comentario que se va a asociar a la acción. Necesario. |
| IsolationType | Cadena | Tipo del aislamiento. Los valores permitidos son: Full, Selective o UnManagedDevice. |
IsolationType controla el tipo de aislamiento que se va a realizar y puede ser uno de los siguientes:
- Completo: aislamiento completo. Funciona para dispositivos administrados.
- Selectivo: restrinja solo el acceso a la red de un conjunto limitado de aplicaciones en dispositivos administrados. Para obtener más información, consulte Aislar dispositivos de la red.
- UnManagedDevice: el aislamiento solo tiene como destino dispositivos no administrados.
Respuesta
Si se ejecuta correctamente, este método devuelve 201: código de respuesta creado y Acción de máquina en el cuerpo de la respuesta.
Ejemplo
Solicitud
Este es un ejemplo de la solicitud.
POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/isolate
{
"Comment": "Isolate machine due to alert 1234",
"IsolationType": "Full"
}
- Para liberar un dispositivo del aislamiento, consulte Liberación del dispositivo del aislamiento.
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.