Megosztás a következőn keresztül:

Speciális veszélyforrás-keresési API

  • Cikk

Érintett szolgáltatás:

Figyelmeztetés

Ez a speciális veszélyforrás-keresési API egy régebbi verzió, korlátozott képességekkel. A speciális veszélyforrás-keresési API átfogóbb verziója, amely több táblát tud lekérdezni, már elérhető a Microsoft Graph biztonsági API-ban. Lásd: Speciális veszélyforrás-keresés a Microsoft Graph security API használatával

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

Megjegyzés:

Ha Ön az USA kormányzati szerveinek ügyfele, használja a Végponthoz készült Microsoft Defender-ben felsorolt URI-kat az USA kormányzati ügyfelei számára.

Tipp

A jobb teljesítmény érdekében a földrajzi helyhez közelebbi kiszolgálót használhat:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Korlátozások

  1. Lekérdezést csak az elmúlt 30 nap adatain futtathat.

  2. Az eredmények legfeljebb 100 000 sort tartalmazhatnak.

  3. A végrehajtások száma bérlőnként korlátozott:

    • API-hívások: Percenként legfeljebb 45 hívás, óránként pedig legfeljebb 1500 hívás.
    • Végrehajtási idő: óránként 10 perc futási idő és napi 3 óra futási idő.

  4. Egyetlen kérés maximális végrehajtási ideje 200 másodperc.

  5. 429 A válasz a kvótakorlát elérését jelenti a kérések száma vagy a PROCESSZOR szerint. A válasz törzsének olvasása annak megértéséhez, hogy milyen korlátot ért el.

  6. Egyetlen kérelem lekérdezési eredményének maximális mérete nem haladhatja meg a 124 MB-ot. Ha túllépi a korlátot, egy HTTP 400 Hibás kérés a következő üzenettel: "A lekérdezés végrehajtása túllépte az engedélyezett eredményméretet. Optimalizálja a lekérdezést az eredmények számának korlátozásával, és próbálkozzon újra".

Engedélyek

Az API meghívásához az alábbi engedélyek egyikére van szükség. További információ, többek között az engedélyek kiválasztása: Végponthoz készült Microsoft Defender API-k használata

Engedély típusa Engedély Engedély megjelenítendő neve
Alkalmazás AdvancedQuery.Read.All Run advanced queries
Delegált (munkahelyi vagy iskolai fiók) AdvancedQuery.Read Run advanced queries

Megjegyzés:

Jogkivonat felhasználói hitelesítő adatokkal történő beszerzésekor:

  • A felhasználónak hozzá kell rendelnie a szerepkört a View Data Microsoft Entra ID
  • A felhasználónak hozzáféréssel kell rendelkeznie az eszközhöz az eszközcsoport beállításai alapján (további információért lásd: Eszközcsoportok létrehozása és kezelése )

Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.

HTTP-kérés

POST https://api.securitycenter.microsoft.com/api/advancedqueries/run

Kérelemfejlécek

Fejléc Érték
Felhatalmazás Tulajdonos : {token}. Kötelező megadni.
Tartalomtípus application/json

Kérelem törzse

A kérelem törzsében adjon meg egy JSON-objektumot a következő paraméterekkel:

Paraméter Típus Leírás
Lekérdezés Szöveg A futtatni kívánt lekérdezés. Kötelező megadni.

Válasz

Ha sikerült, ez a metódus a 200 OK értéket adja vissza, a QueryResponse objektumot pedig a válasz törzsében.

Példa

Példa kérésre

Íme egy példa a kérésre.

POST https://api.securitycenter.microsoft.com/api/advancedqueries/run

{
    "Query":"DeviceProcessEvents
|where InitiatingProcessFileName =~ 'powershell.exe'
|where ProcessCommandLine contains 'appdata'
|project Timestamp, FileName, InitiatingProcessFileName, DeviceId
|limit 2"
}

Példa válaszra

Íme egy példa a válaszra.

Megjegyzés:

Előfordulhat, hogy az itt látható válaszobjektum csonkul a rövidség kedvéért. A rendszer az összes tulajdonságot visszaadja egy tényleges hívásból.

{
    "Schema": [
        {
            "Name": "Timestamp",
            "Type": "DateTime"
        },
        {
            "Name": "FileName",
            "Type": "String"
        },
        {
            "Name": "InitiatingProcessFileName",
            "Type": "String"
        },
        {
            "Name": "DeviceId",
            "Type": "String"
        }
    ],
    "Results": [
        {
            "Timestamp": "2020-02-05T01:10:26.2648757Z",
            "FileName": "csc.exe",
            "InitiatingProcessFileName": "powershell.exe",
            "DeviceId": "10cbf9182d4e95660362f65cfa67c7731f62fdb3"
        },
        {
            "Timestamp": "2020-02-05T01:10:26.5614772Z",
            "FileName": "csc.exe",
            "InitiatingProcessFileName": "powershell.exe",
            "DeviceId": "10cbf9182d4e95660362f65cfa67c7731f62fdb3"
        }
    ]
}

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.