Microsoft Defender XDR kehittyneen metsästyksen ohjelmointirajapinta
Koskee seuraavia:
- Microsoft Defender XDR
Varoitus
Tämä kehittynyt metsästyksen ohjelmointirajapinta on vanhempi versio, jolla on rajoitetut ominaisuudet. Kattavampi versio kehittyneestä metsästyksen ohjelmointirajapinnasta on jo saatavilla Microsoft Graphin suojauksen ohjelmointirajapinnassa. Katso Kehittynyt metsästys Microsoft Graph security -ohjelmointirajapinnan avulla
Tärkeää
Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.
Kehittynyt metsästys on uhkien metsästystyökalu, joka käyttää erityisesti rakennettuja kyselyitä tutkiakseen viimeisen 30 päivän tapahtumatietoja Microsoft Defender XDR. Voit käyttää kehittyneitä metsästyskyselyitä epätavallisen toiminnan tarkastamiseen, mahdollisten uhkien havaitsemiseen ja jopa hyökkäyksiin vastaamiseen. Kehittyneen metsästyksen ohjelmointirajapinnan avulla voit kysellä tapahtumatietoja ohjelmallisesti.
Kiintiöt ja resurssien varaaminen
Seuraavat ehdot liittyvät kaikkiin kyselyihin.
- Kyselyt tutkivat ja palauttavat tietoja viimeisten 30 päivän ajalta.
- Tulokset voivat palauttaa enintään 100 000 riviä.
- Voit soittaa jopa 45 puhelua minuutissa vuokraajaa kohden. Kutsujen määrä vaihtelee vuokraajakohtaisen koon mukaan.
- Kullekin vuokraajalle varataan suoritinresurssit vuokraajan koon mukaan. Kyselyt estetään, jos vuokraaja on saavuttanut 100 % varatuista resursseista seuraavan 15 minuutin jakson jälkeen. Jos haluat välttää ylimääräisestä kulutuksesta johtuvat estetyt kyselyt, noudata ohjeita artikkelissa Kyselyiden optimointi, jotta et joudu käyttämään suoritinkiintiöitä.
- Jos yksittäinen pyyntö suoritetaan yli kolmen minuutin ajan, se aikakatkaistaan ja palautetaan virhe.
429
HTTP-vastauskoodi ilmaisee, että olet saavuttanut varatut suoritinresurssit joko lähetettyjen pyyntöjen määrän tai varatun suoritusajan mukaan. Lue vastauksen tekstiosasta, miten raja saavutetaan.
Käyttöoikeudet
Lisämetsästyksen ohjelmointirajapinnan kutsuminen edellyttää yhtä seuraavista käyttöoikeuksista. Lisätietoja, mukaan lukien käyttöoikeuksien valitseminen, on artikkelissa Microsoft Defender XDR Suojaus-ohjelmointirajapintoja.
Käyttöoikeustyyppi | Lupaa | Käyttöoikeuden näyttönimi |
---|---|---|
Sovellus | AdvancedHunting.Read.All | Kehittyneiden kyselyiden suorittaminen |
Delegoitu (työpaikan tai oppilaitoksen tili) | AdvancedHunting.Read | Kehittyneiden kyselyiden suorittaminen |
Huomautus
Kun hankit tunnuksen käyttäjän tunnistetiedoilla:
- Käyttäjällä on oltava Näytä tiedot -rooli.
- Käyttäjällä on oltava laitteen käyttöoikeus laiteryhmän asetusten perusteella.
HTTP-pyyntö
POST https://api.security.microsoft.com/api/advancedhunting/run
Pyynnön otsikot
Otsikko | Arvo |
---|---|
Lupa | Haltijan {token} Huomautus: pakollinen |
Sisältötyyppi | application/json |
Pyynnön leipäteksti
Anna pyynnön leipätekstissä JSON-objekti, jolla on seuraavat parametrit:
Parametri | Kirjoita | Kuvaus |
---|---|---|
Kyselyn | Teksti | Suoritettava kysely. (pakollinen) |
Vastaus
Jos tämä menetelmä onnistuu, se palauttaa 200 OK
- menetelmän ja Kyselyvastaus-objektin vastauksen leipätekstiin.
Vastausobjekti sisältää kolme ylimmän tason ominaisuutta:
- Tilastot – Kyselyn suorituskykytilastojen sanasto.
- Rakenne – Vastauksen rakenne, luettelo Name-Type pareista kullekin sarakkeelle.
- Tulokset – Luettelo kehittyneestä metsästystapahtumasta.
Esimerkki
Seuraavassa esimerkissä käyttäjä lähettää alla olevan kyselyn ja vastaanottaa ohjelmointirajapinnan vastausobjektin, joka sisältää Stats
kohteen , Schema
ja Results
.
Kyselyn
{
"Query":"DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2"
}
Vastausobjekti
{
"Stats": {
"ExecutionTime": 4.621215,
"resource_usage": {
"cache": {
"memory": {
"hits": 773461,
"misses": 4481,
"total": 777942
},
"disk": {
"hits": 994,
"misses": 197,
"total": 1191
}
},
"cpu": {
"user": "00:00:19.0468750",
"kernel": "00:00:00.0156250",
"total cpu": "00:00:19.0625000"
},
"memory": {
"peak_per_node": 236822432
}
},
"dataset_statistics": [
{
"table_row_count": 2,
"table_size": 102
}
]
},
"Schema": [
{
"Name": "Timestamp",
"Type": "DateTime"
},
{
"Name": "FileName",
"Type": "String"
},
{
"Name": "InitiatingProcessFileName",
"Type": "String"
}
],
"Results": [
{
"Timestamp": "2020-08-30T06:38:35.7664356Z",
"FileName": "conhost.exe",
"InitiatingProcessFileName": "powershell.exe"
},
{
"Timestamp": "2020-08-30T06:38:30.5163363Z",
"FileName": "conhost.exe",
"InitiatingProcessFileName": "powershell.exe"
}
]
}
Aiheeseen liittyviä artikkeleita
Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen – Microsoft Graph | Microsoft Learn
Lisätietoja ohjelmointirajapinnan rajoituksista ja käyttöoikeuksista
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.