api til avanceret jagt Microsoft 365 Defender

Bemærk!

Vil du opleve Microsoft 365 Defender? Få mere at vide om, hvordan du kan evaluere og prøve Microsoft 365 Defender.

Gælder for:

  • Microsoft 365 Defender

Bemærk!

Prøv vores nye API'er ved hjælp af MS Graph-sikkerheds-API'en. Få mere at vide på: Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph-beta-| Microsoft Learn.

Vigtigt!

Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykkelige eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Avanceret jagt er et værktøj til trusselsjagt, der bruger særligt konstruerede forespørgsler til at undersøge de seneste 30 dages hændelsesdata i Microsoft 365 Defender. Du kan bruge avancerede jagtforespørgsler til at inspicere usædvanlig aktivitet, registrere mulige trusler og endda reagere på angreb. Den avancerede jagt-API giver dig mulighed for programmeringsmæssigt at forespørge om hændelsesdata.

Kvoter og ressourceallokering

Følgende betingelser er relateret til alle forespørgsler.

  1. Forespørgsler udforsker og returnerer data fra de seneste 30 dage.
  2. Resultaterne kan returnere op til 100.000 rækker.
  3. Du kan foretage op til 45 opkald pr. minut pr. lejer.
  4. Forespørgsler blokeres, hvis lejeren har nået 100 % indtil efter den næste 15-minutters cyklus.
  5. Hvis en enkelt anmodning kører i mere end 10 minutter, får den timeout og returnerer en fejl.
  6. En 429 HTTP-svarkode angiver, at du har nået en kvote, enten efter antal anmodninger, der er sendt, eller af den tildelte kørselstid. Læs svarteksten for at forstå den grænse, du har nået.

Bemærk!

Alle kvotaer, der er angivet ovenfor (f.eks. 15 opkald pr. min.), er hele lejeren. Disse kvoter er minimum.

Tilladelser

En af følgende tilladelser er påkrævet for at kalde API'en for avanceret jagt. Hvis du vil vide mere, herunder hvordan du vælger tilladelser, skal du se Få adgang til API'erne til Microsoft 365 Defender Protection.

Tilladelsestype Tilladelse Vist navn for tilladelse
Program AdvancedHunting.Read.All Kør avancerede forespørgsler
Uddelegeret (arbejds- eller skolekonto) AdvancedHunting.Read Kør avancerede forespørgsler

Bemærk!

Når du henter et token ved hjælp af brugerlegitimationsoplysninger:

  • Brugeren skal have rollen 'Vis data'.
  • Brugeren skal have adgang til enheden baseret på indstillingerne for enhedsgruppe.

HTTP-anmodning

POST https://api.security.microsoft.com/api/advancedhunting/run

Anmodningsheadere

Sidehoved Værdi
Tilladelse Ihændehaver {token} Bemærk! påkrævet
Indholdstype program/json

Brødtekst i anmodning

Angiv følgende parametre for et JSON-objekt i anmodningens brødtekst:

Parameter Type Beskrivelse
Forespørgsel Tekst Den forespørgsel, der skal køres. (påkrævet)

Svar

Hvis det lykkes, returnerer 200 OKdenne metode og et QueryResponse-objekt i svarbrødteksten.

Svarobjektet indeholder tre egenskaber på øverste niveau:

  1. Statistik – en ordbog over statistik for forespørgselsydeevne.
  2. Schema – Skemaet for svaret, en liste over Name-Type par for hver kolonne.
  3. Results – En liste over avancerede jagtbegivenheder.

Eksempel

I følgende eksempel sender en bruger forespørgslen nedenfor og modtager et API-svarobjekt, der indeholder Stats, Schemaog Results.

Forespørgsel

{
    "Query":"DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2"
}

Svarobjekt

{
    "Stats": {
        "ExecutionTime": 4.621215,
        "resource_usage": {
            "cache": {
                "memory": {
                    "hits": 773461,
                    "misses": 4481,
                    "total": 777942
                },
                "disk": {
                    "hits": 994,
                    "misses": 197,
                    "total": 1191
                }
            },
            "cpu": {
                "user": "00:00:19.0468750",
                "kernel": "00:00:00.0156250",
                "total cpu": "00:00:19.0625000"
            },
            "memory": {
                "peak_per_node": 236822432
            }
        },
        "dataset_statistics": [
            {
                "table_row_count": 2,
                "table_size": 102
            }
        ]
    },
    "Schema": [
        {
            "Name": "Timestamp",
            "Type": "DateTime"
        },
        {
            "Name": "FileName",
            "Type": "String"
        },
        {
            "Name": "InitiatingProcessFileName",
            "Type": "String"
        }
    ],
    "Results": [
        {
            "Timestamp": "2020-08-30T06:38:35.7664356Z",
            "FileName": "conhost.exe",
            "InitiatingProcessFileName": "powershell.exe"
        },
        {
            "Timestamp": "2020-08-30T06:38:30.5163363Z",
            "FileName": "conhost.exe",
            "InitiatingProcessFileName": "powershell.exe"
        }
    ]
}