Microsoft Defender XDR rozhraní API rozšířeného proaktivního vyhledávání

Platí pro:

• Microsoft Defender XDR

Upozornění

Toto rozhraní API pro pokročilé proaktivního vyhledávání je starší verze s omezenými možnostmi. V rozhraní Microsoft Graph Security API je již k dispozici komplexnější verze rozhraní API pro pokročilé proaktivního proaktivního vyhledávání. Viz Rozšířené proaktivní vyhledávání s využitím rozhraní Microsoft Graph Security API.

Důležité

Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Rozšířené proaktivní vyhledávání je nástroj proaktivního vyhledávání hrozeb, který používá speciálně vytvořené dotazy ke zkoumání dat událostí v Microsoft Defender XDR za posledních 30 dnů. Pomocí pokročilých dotazů proaktivního vyhledávání můžete kontrolovat neobvyklou aktivitu, zjišťovat možné hrozby a dokonce i reagovat na útoky. Pokročilé rozhraní API proaktivního vyhledávání umožňuje programově dotazovat data událostí.

Kvóty a přidělení prostředků

Následující podmínky se týkají všech dotazů.

1. Dotazy zkoumají a vracejí data za posledních 30 dnů.
2. Výsledky můžou vrátit až 100 000 řádků.
3. Pro každého tenanta můžete provést alespoň 45 hovorů za minutu. Počet volání se u jednotlivých tenantů liší v závislosti na jeho velikosti.
4. Každému tenantovi se na základě velikosti tenanta přidělí prostředky procesoru. Dotazy se zablokují, pokud tenant dosáhl 100 % přidělených prostředků až do dalšího 15minutového cyklu. Pokud se chcete vyhnout zablokování dotazů kvůli nadměrné spotřebě, postupujte podle pokynů v tématu Optimalizace dotazů, abyste se vyhnuli dosažení kvót procesoru.
5. Pokud jeden požadavek běží déle než tři minuty, vyprší časový limit a vrátí chybu.
6. 429 Kód odpovědi HTTP označuje, že jste dosáhli přidělených prostředků procesoru, a to buď podle počtu odeslaných požadavků, nebo podle přidělené doby běhu. Přečtěte si text odpovědi, abyste porozuměli limitu, který jste dosáhli.

Oprávnění

K volání rozhraní API rozšířeného proaktivního vyhledávání se vyžaduje jedno z následujících oprávnění. Další informace, včetně způsobu výběru oprávnění, najdete v tématu Přístup k rozhraním API ochrany Microsoft Defender XDR.

Typ oprávnění	Oprávnění	Zobrazovaný název oprávnění
Application	AdvancedHunting.Read.All	Spouštění pokročilých dotazů
Delegovaný (pracovní nebo školní účet)	AdvancedHunting.Read	Spouštění pokročilých dotazů

Poznámka

Při získávání tokenu pomocí přihlašovacích údajů uživatele:

• Uživatel musí mít roli Zobrazit data.
• Uživatel musí mít přístup k zařízení na základě nastavení skupiny zařízení.

Požadavek HTTP

POST https://api.security.microsoft.com/api/advancedhunting/run

Hlavičky požadavků

Záhlaví	Hodnota
Autorizace	Nosný {token} Poznámka: povinné
Typ obsahu	application/json

Text požadavku

V textu požadavku zadejte objekt JSON s následujícími parametry:

Parametr	Typ	Popis
Dotazu	Text	Dotaz, který se má spustit. (povinné)

Reakce

Pokud je tato metoda úspěšná, vrátí 200 OKv textu odpovědi objekt a objekt QueryResponse .

Objekt odpovědi obsahuje tři vlastnosti nejvyšší úrovně:

1. Stats – slovník statistik výkonu dotazů.
2. Schéma – schéma odpovědi, seznam dvojic Name-Type pro každý sloupec.
3. Výsledky – seznam událostí rozšířeného proaktivního vyhledávání.

Příklad

V následujícím příkladu uživatel odešle níže uvedený dotaz a obdrží objekt odpovědi rozhraní API obsahující Stats, Schemaa Results.

Dotazu

{
    "Query":"DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2"
}

Objekt odpovědi

{
    "Stats": {
        "ExecutionTime": 4.621215,
        "resource_usage": {
            "cache": {
                "memory": {
                    "hits": 773461,
                    "misses": 4481,
                    "total": 777942
                },
                "disk": {
                    "hits": 994,
                    "misses": 197,
                    "total": 1191
                }
            },
            "cpu": {
                "user": "00:00:19.0468750",
                "kernel": "00:00:00.0156250",
                "total cpu": "00:00:19.0625000"
            },
            "memory": {
                "peak_per_node": 236822432
            }
        },
        "dataset_statistics": [
            {
                "table_row_count": 2,
                "table_size": 102
            }
        ]
    },
    "Schema": [
        {
            "Name": "Timestamp",
            "Type": "DateTime"
        },
        {
            "Name": "FileName",
            "Type": "String"
        },
        {
            "Name": "InitiatingProcessFileName",
            "Type": "String"
        }
    ],
    "Results": [
        {
            "Timestamp": "2020-08-30T06:38:35.7664356Z",
            "FileName": "conhost.exe",
            "InitiatingProcessFileName": "powershell.exe"
        },
        {
            "Timestamp": "2020-08-30T06:38:30.5163363Z",
            "FileName": "conhost.exe",
            "InitiatingProcessFileName": "powershell.exe"
        }
    ]
}

Související články

• Použití rozhraní Microsoft Graph Security API – Microsoft Graph | Microsoft Learn

• Přístup k rozhraním API Microsoft Defender XDR

• Informace o limitech a licencování rozhraní API

• Vysvětlení kódů chyb

• Přehled rozšířeného proaktivní vyhledávání

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.