واجهة برمجة تطبيقات التتبع المتقدمة Microsoft Defender XDR

ينطبق على:

• Microsoft Defender XDR

تحذير

واجهة برمجة تطبيقات التتبع المتقدمة هذه هي إصدار أقدم مع قدرات محدودة. يتوفر بالفعل إصدار أكثر شمولا من واجهة برمجة تطبيقات التتبع المتقدمة في واجهة برمجة تطبيقات أمان Microsoft Graph. راجع التتبع المتقدم باستخدام واجهة برمجة تطبيقات أمان Microsoft Graph

هام

تتعلق بعض المعلومات بالمنتج الذي تم إصداره مسبقا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.

التتبع المتقدم هو أداة تتبع التهديدات التي تستخدم استعلامات تم إنشاؤها خصيصا لفحص آخر 30 يوما من بيانات الحدث في Microsoft Defender XDR. يمكنك استخدام استعلامات التتبع المتقدمة لفحص النشاط غير العادي واكتشاف التهديدات المحتملة وحتى الاستجابة للهجمات. تسمح لك واجهة برمجة تطبيقات التتبع المتقدمة بالاستعلام عن بيانات الحدث برمجيا.

الحصص النسبية وتخصيص الموارد

تتعلق الشروط التالية بجميع الاستعلامات.

1. تستكشف الاستعلامات البيانات وتعيدها من ال 30 يوما الماضية.
2. يمكن أن ترجع النتائج ما يصل إلى 100,000 صف.
3. يمكنك إجراء ما لا يقل عن 45 مكالمة في الدقيقة لكل مستأجر. يختلف عدد الاستدعاءات لكل مستأجر بناء على حجمه.
4. يتم تخصيص موارد وحدة المعالجة المركزية لكل مستأجر، استنادا إلى حجم المستأجر. يتم حظر الاستعلامات إذا وصل المستأجر إلى 100٪ من الموارد المخصصة حتى بعد دورة ال 15 دقيقة التالية. لتجنب الاستعلامات المحظورة بسبب الاستهلاك الزائد، اتبع الإرشادات الواردة في تحسين استعلاماتك لتجنب الوصول إلى حصص وحدة المعالجة المركزية.
5. إذا تم تشغيل طلب واحد لأكثر من ثلاث دقائق، فإنه مهلة وإرجاع خطأ.
6. 429 يشير رمز استجابة HTTP إلى أنك وصلت إلى موارد وحدة المعالجة المركزية المخصصة، إما حسب عدد الطلبات المرسلة، أو حسب وقت التشغيل المخصص. اقرأ نص الاستجابة لفهم الحد الذي وصلت إليه.

الأذونات

مطلوب أحد الأذونات التالية لاستدعاء واجهة برمجة تطبيقات التتبع المتقدمة. لمعرفة المزيد، بما في ذلك كيفية اختيار الأذونات، راجع الوصول إلى واجهات برمجة تطبيقات حماية Microsoft Defender XDR.

نوع الإذن	اذن	اسم عرض الإذن
Application	AdvancedHunting.Read.All	تشغيل الاستعلامات المتقدمة
مفوض (حساب العمل أو المؤسسة التعليمية)	AdvancedHunting.Read	تشغيل الاستعلامات المتقدمة

ملاحظة

عند الحصول على رمز مميز باستخدام بيانات اعتماد المستخدم:

• يحتاج المستخدم إلى دور "عرض البيانات".
• يحتاج المستخدم إلى الوصول إلى الجهاز، استنادا إلى إعدادات مجموعة الأجهزة.

طلب HTTP

POST https://api.security.microsoft.com/api/advancedhunting/run

عناوين الطلبات

عنوان	قيمه
التخويل	ملاحظة حامل {token} : مطلوب
نوع المحتوى	application/json

نص الطلب

في نص الطلب، قم بتوفير كائن JSON بالمعلمات التالية:

المعلمه	نوع	الوصف
الاستعلام	النص	الاستعلام المراد تشغيله. (مطلوب)

استجابه

إذا نجحت، فسيرجع 200 OKهذا الأسلوب ، وعنصر QueryResponse في نص الاستجابة.

يحتوي كائن الاستجابة على ثلاث خصائص من المستوى الأعلى:

1. الإحصائيات - قاموس إحصائيات أداء الاستعلام.
2. المخطط - مخطط الاستجابة، قائمة أزواج Name-Type لكل عمود.
3. النتائج - قائمة بأحداث التتبع المتقدمة.

المثال

في المثال التالي، يرسل المستخدم الاستعلام أدناه ويتلقى كائن استجابة API يحتوي على Statsو Schemaو Results.

الاستعلام

{
    "Query":"DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2"
}

كائن الاستجابة

{
    "Stats": {
        "ExecutionTime": 4.621215,
        "resource_usage": {
            "cache": {
                "memory": {
                    "hits": 773461,
                    "misses": 4481,
                    "total": 777942
                },
                "disk": {
                    "hits": 994,
                    "misses": 197,
                    "total": 1191
                }
            },
            "cpu": {
                "user": "00:00:19.0468750",
                "kernel": "00:00:00.0156250",
                "total cpu": "00:00:19.0625000"
            },
            "memory": {
                "peak_per_node": 236822432
            }
        },
        "dataset_statistics": [
            {
                "table_row_count": 2,
                "table_size": 102
            }
        ]
    },
    "Schema": [
        {
            "Name": "Timestamp",
            "Type": "DateTime"
        },
        {
            "Name": "FileName",
            "Type": "String"
        },
        {
            "Name": "InitiatingProcessFileName",
            "Type": "String"
        }
    ],
    "Results": [
        {
            "Timestamp": "2020-08-30T06:38:35.7664356Z",
            "FileName": "conhost.exe",
            "InitiatingProcessFileName": "powershell.exe"
        },
        {
            "Timestamp": "2020-08-30T06:38:30.5163363Z",
            "FileName": "conhost.exe",
            "InitiatingProcessFileName": "powershell.exe"
        }
    ]
}

المقالات ذات الصلة

• استخدام واجهة برمجة تطبيقات أمان Microsoft Graph - Microsoft Graph | Microsoft Learn

• الوصول إلى واجهات برمجة التطبيقات Microsoft Defender XDR

• تعرف على حدود واجهة برمجة التطبيقات والترخيص

• فهم رموز الخطأ

• نظرة عامة متقدمة حول الصيد

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.