Microsoft Defender XDR kehittyneen metsästyksen ohjelmointirajapinta

Koskee seuraavia:

• Microsoft Defender XDR

Varoitus

Tämä kehittynyt metsästyksen ohjelmointirajapinta on vanhempi versio, jolla on rajoitetut ominaisuudet. Kattavampi versio kehittyneestä metsästyksen ohjelmointirajapinnasta on jo saatavilla Microsoft Graphin suojauksen ohjelmointirajapinnassa. Katso Kehittynyt metsästys Microsoft Graph security -ohjelmointirajapinnan avulla

Tärkeää

Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Kehittynyt metsästys on uhkien metsästystyökalu, joka käyttää erityisesti rakennettuja kyselyitä tutkiakseen viimeisen 30 päivän tapahtumatietoja Microsoft Defender XDR. Voit käyttää kehittyneitä metsästyskyselyitä epätavallisen toiminnan tarkastamiseen, mahdollisten uhkien havaitsemiseen ja jopa hyökkäyksiin vastaamiseen. Kehittyneen metsästyksen ohjelmointirajapinnan avulla voit kysellä tapahtumatietoja ohjelmallisesti.

Kiintiöt ja resurssien varaaminen

Seuraavat ehdot liittyvät kaikkiin kyselyihin.

1. Kyselyt tutkivat ja palauttavat tietoja viimeisten 30 päivän ajalta.
2. Tulokset voivat palauttaa enintään 100 000 riviä.
3. Voit soittaa jopa 45 puhelua minuutissa vuokraajaa kohden. Kutsujen määrä vaihtelee vuokraajakohtaisen koon mukaan.
4. Kullekin vuokraajalle varataan suoritinresurssit vuokraajan koon mukaan. Kyselyt estetään, jos vuokraaja on saavuttanut 100 % varatuista resursseista seuraavan 15 minuutin jakson jälkeen. Jos haluat välttää ylimääräisestä kulutuksesta johtuvat estetyt kyselyt, noudata ohjeita artikkelissa Kyselyiden optimointi, jotta et joudu käyttämään suoritinkiintiöitä.
5. Jos yksittäinen pyyntö suoritetaan yli kolmen minuutin ajan, se aikakatkaistaan ja palautetaan virhe.
6. 429 HTTP-vastauskoodi ilmaisee, että olet saavuttanut varatut suoritinresurssit joko lähetettyjen pyyntöjen määrän tai varatun suoritusajan mukaan. Lue vastauksen tekstiosasta, miten raja saavutetaan.

Käyttöoikeudet

Lisämetsästyksen ohjelmointirajapinnan kutsuminen edellyttää yhtä seuraavista käyttöoikeuksista. Lisätietoja, mukaan lukien käyttöoikeuksien valitseminen, on artikkelissa Microsoft Defender XDR Suojaus-ohjelmointirajapintoja.

Käyttöoikeustyyppi	Lupaa	Käyttöoikeuden näyttönimi
Sovellus	AdvancedHunting.Read.All	Kehittyneiden kyselyiden suorittaminen
Delegoitu (työpaikan tai oppilaitoksen tili)	AdvancedHunting.Read	Kehittyneiden kyselyiden suorittaminen

Huomautus

Kun hankit tunnuksen käyttäjän tunnistetiedoilla:

• Käyttäjällä on oltava Näytä tiedot -rooli.
• Käyttäjällä on oltava laitteen käyttöoikeus laiteryhmän asetusten perusteella.

HTTP-pyyntö

POST https://api.security.microsoft.com/api/advancedhunting/run

Pyynnön otsikot

Otsikko	Arvo
Lupa	Haltijan {token} Huomautus: pakollinen
Sisältötyyppi	application/json

Pyynnön leipäteksti

Anna pyynnön leipätekstissä JSON-objekti, jolla on seuraavat parametrit:

Parametri	Kirjoita	Kuvaus
Kyselyn	Teksti	Suoritettava kysely. (pakollinen)

Vastaus

Jos tämä menetelmä onnistuu, se palauttaa 200 OK- menetelmän ja Kyselyvastaus-objektin vastauksen leipätekstiin.

Vastausobjekti sisältää kolme ylimmän tason ominaisuutta:

1. Tilastot – Kyselyn suorituskykytilastojen sanasto.
2. Rakenne – Vastauksen rakenne, luettelo Name-Type pareista kullekin sarakkeelle.
3. Tulokset – Luettelo kehittyneestä metsästystapahtumasta.

Esimerkki

Seuraavassa esimerkissä käyttäjä lähettää alla olevan kyselyn ja vastaanottaa ohjelmointirajapinnan vastausobjektin, joka sisältää Statskohteen , Schemaja Results.

Kyselyn

{
    "Query":"DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2"
}

Vastausobjekti

{
    "Stats": {
        "ExecutionTime": 4.621215,
        "resource_usage": {
            "cache": {
                "memory": {
                    "hits": 773461,
                    "misses": 4481,
                    "total": 777942
                },
                "disk": {
                    "hits": 994,
                    "misses": 197,
                    "total": 1191
                }
            },
            "cpu": {
                "user": "00:00:19.0468750",
                "kernel": "00:00:00.0156250",
                "total cpu": "00:00:19.0625000"
            },
            "memory": {
                "peak_per_node": 236822432
            }
        },
        "dataset_statistics": [
            {
                "table_row_count": 2,
                "table_size": 102
            }
        ]
    },
    "Schema": [
        {
            "Name": "Timestamp",
            "Type": "DateTime"
        },
        {
            "Name": "FileName",
            "Type": "String"
        },
        {
            "Name": "InitiatingProcessFileName",
            "Type": "String"
        }
    ],
    "Results": [
        {
            "Timestamp": "2020-08-30T06:38:35.7664356Z",
            "FileName": "conhost.exe",
            "InitiatingProcessFileName": "powershell.exe"
        },
        {
            "Timestamp": "2020-08-30T06:38:30.5163363Z",
            "FileName": "conhost.exe",
            "InitiatingProcessFileName": "powershell.exe"
        }
    ]
}

Aiheeseen liittyviä artikkeleita

• Microsoft Graph -suojauksen ohjelmointirajapinnan käyttäminen – Microsoft Graph | Microsoft Learn

• Microsoft Defender XDR-ohjelmointirajapinnoille pääsy

• Lisätietoja ohjelmointirajapinnan rajoituksista ja käyttöoikeuksista

• Virhekoodien ymmärtäminen

• Tarkennetun etsinnän yleiskatsaus

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.