Speciális veszélyforrás-keresési API
Érintett szolgáltatás:
Figyelmeztetés
Ez a speciális veszélyforrás-keresési API egy régebbi verzió, korlátozott képességekkel. A speciális veszélyforrás-keresési API átfogóbb verziója, amely több táblát tud lekérdezni, már elérhető a Microsoft Graph biztonsági API-ban. Lásd: Speciális veszélyforrás-keresés a Microsoft Graph security API használatával
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra
Megjegyzés:
Ha Ön az USA kormányzati szerveinek ügyfele, használja a Végponthoz készült Microsoft Defender-ben felsorolt URI-kat az USA kormányzati ügyfelei számára.
Tipp
A jobb teljesítmény érdekében a földrajzi helyhez közelebbi kiszolgálót használhat:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Korlátozások
Lekérdezést csak az elmúlt 30 nap adatain futtathat.
Az eredmények legfeljebb 100 000 sort tartalmazhatnak.
A végrehajtások száma bérlőnként korlátozott:
- API-hívások: Percenként legfeljebb 45 hívás, óránként pedig legfeljebb 1500 hívás.
- Végrehajtási idő: óránként 10 perc futási idő és napi 3 óra futási idő.
Egyetlen kérés maximális végrehajtási ideje 200 másodperc.
429
A válasz a kvótakorlát elérését jelenti a kérések száma vagy a PROCESSZOR szerint. A válasz törzsének olvasása annak megértéséhez, hogy milyen korlátot ért el.Egyetlen kérelem lekérdezési eredményének maximális mérete nem haladhatja meg a 124 MB-ot. Ha túllépi a korlátot, egy HTTP 400 Hibás kérés a következő üzenettel: "A lekérdezés végrehajtása túllépte az engedélyezett eredményméretet. Optimalizálja a lekérdezést az eredmények számának korlátozásával, és próbálkozzon újra".
Engedélyek
Az API meghívásához az alábbi engedélyek egyikére van szükség. További információ, többek között az engedélyek kiválasztása: Végponthoz készült Microsoft Defender API-k használata
Engedély típusa | Engedély | Engedély megjelenítendő neve |
---|---|---|
Alkalmazás | AdvancedQuery.Read.All | Run advanced queries |
Delegált (munkahelyi vagy iskolai fiók) | AdvancedQuery.Read | Run advanced queries |
Megjegyzés:
Jogkivonat felhasználói hitelesítő adatokkal történő beszerzésekor:
- A felhasználónak hozzá kell rendelnie a szerepkört a
View Data
Microsoft Entra ID - A felhasználónak hozzáféréssel kell rendelkeznie az eszközhöz az eszközcsoport beállításai alapján (további információért lásd: Eszközcsoportok létrehozása és kezelése )
Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.
HTTP-kérés
POST https://api.securitycenter.microsoft.com/api/advancedqueries/run
Kérelemfejlécek
Fejléc | Érték |
---|---|
Felhatalmazás | Tulajdonos : {token}. Kötelező megadni. |
Tartalomtípus | application/json |
Kérelem törzse
A kérelem törzsében adjon meg egy JSON-objektumot a következő paraméterekkel:
Paraméter | Típus | Leírás |
---|---|---|
Lekérdezés | Szöveg | A futtatni kívánt lekérdezés. Kötelező megadni. |
Válasz
Ha sikerült, ez a metódus a 200 OK értéket adja vissza, a QueryResponse objektumot pedig a válasz törzsében.
Példa
Példa kérésre
Íme egy példa a kérésre.
POST https://api.securitycenter.microsoft.com/api/advancedqueries/run
{
"Query":"DeviceProcessEvents
|where InitiatingProcessFileName =~ 'powershell.exe'
|where ProcessCommandLine contains 'appdata'
|project Timestamp, FileName, InitiatingProcessFileName, DeviceId
|limit 2"
}
Példa válaszra
Íme egy példa a válaszra.
Megjegyzés:
Előfordulhat, hogy az itt látható válaszobjektum csonkul a rövidség kedvéért. A rendszer az összes tulajdonságot visszaadja egy tényleges hívásból.
{
"Schema": [
{
"Name": "Timestamp",
"Type": "DateTime"
},
{
"Name": "FileName",
"Type": "String"
},
{
"Name": "InitiatingProcessFileName",
"Type": "String"
},
{
"Name": "DeviceId",
"Type": "String"
}
],
"Results": [
{
"Timestamp": "2020-02-05T01:10:26.2648757Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe",
"DeviceId": "10cbf9182d4e95660362f65cfa67c7731f62fdb3"
},
{
"Timestamp": "2020-02-05T01:10:26.5614772Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe",
"DeviceId": "10cbf9182d4e95660362f65cfa67c7731f62fdb3"
}
]
}
Kapcsolódó cikkek
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.