Rozhraní API pro izolaci počítačů

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Poznámka

Pokud jste zákazníkem státní správy USA, použijte identifikátory URI uvedené v Microsoft Defender for Endpoint pro zákazníky státní správy USA.

Tip

Pro lepší výkon můžete použít server blíže k vašemu geografickému umístění:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Popis rozhraní API

Izoluje zařízení od přístupu k externí síti.

Omezení

  1. Omezení rychlosti pro toto rozhraní API jsou 100 volání za minutu a 1500 volání za hodinu.

Poznámka

Tato stránka se zaměřuje na provedení akce počítače prostřednictvím rozhraní API. Další informace o funkcích akcí odpovědí prostřednictvím Microsoft Defender for Endpoint najdete v tématu Provádění akcí odpovědí na počítači.

Důležité

  • Úplná izolace je k dispozici pro zařízení ve Windows 10 verze 1703 a na Windows 11.
  • Úplná izolace je dostupná ve verzi Public Preview pro všechny podporované Microsoft Defender for Endpoint v Linuxu uvedené v části Požadavky na systém.
  • Selektivní izolace je k dispozici pro zařízení v Windows 10 verze 1709 nebo novější a na Windows 11.
  • Při izolování zařízení jsou povolené jenom určité procesy a cíle. Proto se zařízení, která jsou za úplným tunelem VPN, nebudou po izolaci zařízení moci připojit ke cloudové službě Microsoft Defender for Endpoint. Pro přenosy Microsoft Defender for Endpoint a Microsoft Defender Antivirové ochrany doporučujeme používat síť VPN s rozděleným tunelovým propojením.

Oprávnění

K volání tohoto rozhraní API se vyžaduje jedno z následujících oprávnění. Další informace, včetně postupu výběru oprávnění, najdete v tématu Použití rozhraní MICROSOFT DEFENDER FOR ENDPOINT API.

Typ oprávnění Oprávnění Zobrazovaný název oprávnění
Application Machine.Isolate Izolovat počítač
Delegovaný (pracovní nebo školní účet) Machine.Isolate Izolovat počítač

Poznámka

Při získávání tokenu pomocí přihlašovacích údajů uživatele:

  • Uživatel musí mít alespoň následující oprávnění role: Aktivní nápravné akce (další informace najdete v tématu Create a správa rolí).
  • Uživatel musí mít přístup k zařízení na základě nastavení skupiny zařízení (další informace najdete v tématu Create a správa skupin zařízení).

Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.

Požadavek HTTP

POST https://api.securitycenter.microsoft.com/api/machines/{id}/isolate

Hlavičky požadavků

Name (Název) Typ Popis
Autorizace String Nosný {token}. Povinné.
Typ obsahu Řetězec application/json. Povinné.

Text požadavku

V textu požadavku zadejte objekt JSON s následujícími parametry:

Parametr Typ Popis
Komentování String Komentář, který chcete přidružit k akci. Povinné.
IsolationType String Typ izolace. Povolené hodnoty jsou: "Full" nebo 'Selective'.

IsolationType určuje typ izolace, který se má provést, a může to být jedna z následujících možností:

Reakce

Pokud je tato metoda úspěšná, vrátí v těle odpovědi kód odpovědi 201 – Vytvořený kód odpovědi a machine action .

Příklad

Požadavek

Tady je příklad požadavku.

POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/isolate
{
  "Comment": "Isolate machine due to alert 1234",
  "IsolationType": "Full" 
}

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.