Lue englanniksi

Jaa


Microsoft Defender XDR kehittyneen metsästyksen ohjelmointirajapinta

Koskee seuraavia:

  • Microsoft Defender XDR

Varoitus

Tämä kehittynyt metsästyksen ohjelmointirajapinta on vanhempi versio, jolla on rajoitetut ominaisuudet. Kattavampi versio kehittyneestä metsästyksen ohjelmointirajapinnasta on jo saatavilla Microsoft Graphin suojauksen ohjelmointirajapinnassa. Katso Kehittynyt metsästys Microsoft Graph security -ohjelmointirajapinnan avulla

Tärkeä

Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Kehittynyt metsästys on uhkien metsästystyökalu, joka käyttää erityisesti rakennettuja kyselyitä tutkiakseen viimeisen 30 päivän tapahtumatietoja Microsoft Defender XDR. Voit käyttää kehittyneitä metsästyskyselyitä epätavallisen toiminnan tarkastamiseen, mahdollisten uhkien havaitsemiseen ja jopa hyökkäyksiin vastaamiseen. Kehittyneen metsästyksen ohjelmointirajapinnan avulla voit kysellä tapahtumatietoja ohjelmallisesti.

Kiintiöt ja resurssien varaaminen

Seuraavat ehdot liittyvät kaikkiin kyselyihin.

  1. Kyselyt tutkivat ja palauttavat tietoja viimeisten 30 päivän ajalta.
  2. Tulokset voivat palauttaa enintään 100 000 riviä.
  3. Voit soittaa jopa 45 puhelua minuutissa vuokraajaa kohden. Kutsujen määrä vaihtelee vuokraajakohtaisen koon mukaan.
  4. Kullekin vuokraajalle varataan suoritinresurssit vuokraajan koon mukaan. Kyselyt estetään, jos vuokraaja on saavuttanut 100 % varatuista resursseista seuraavan 15 minuutin jakson jälkeen. Jos haluat välttää ylimääräisestä kulutuksesta johtuvat estetyt kyselyt, noudata ohjeita artikkelissa Kyselyiden optimointi, jotta et joudu käyttämään suoritinkiintiöitä.
  5. Jos yksittäinen pyyntö suoritetaan yli kolmen minuutin ajan, se aikakatkaistaan ja palautetaan virhe.
  6. 429 HTTP-vastauskoodi ilmaisee, että olet saavuttanut varatut suoritinresurssit joko lähetettyjen pyyntöjen määrän tai varatun suoritusajan mukaan. Lue vastauksen tekstiosasta, miten raja saavutetaan.

Käyttöoikeudet

Lisämetsästyksen ohjelmointirajapinnan kutsuminen edellyttää yhtä seuraavista käyttöoikeuksista. Lisätietoja, mukaan lukien käyttöoikeuksien valitseminen, on artikkelissa Microsoft Defender XDR Suojaus-ohjelmointirajapintoja.

Käyttöoikeustyyppi Lupaa Käyttöoikeuden näyttönimi
Sovellus AdvancedHunting.Read.All Kehittyneiden kyselyiden suorittaminen
Delegoitu (työpaikan tai oppilaitoksen tili) AdvancedHunting.Read Kehittyneiden kyselyiden suorittaminen

Huomautus

Kun hankit tunnuksen käyttäjän tunnistetiedoilla:

  • Käyttäjällä on oltava Näytä tiedot -rooli.
  • Käyttäjällä on oltava laitteen käyttöoikeus laiteryhmän asetusten perusteella.

HTTP-pyyntö

POST https://api.security.microsoft.com/api/advancedhunting/run

Pyynnön otsikot

Otsikko Arvo
Lupa Haltijan {token} Huomautus: pakollinen
Sisältötyyppi application/json

Pyynnön leipäteksti

Anna pyynnön leipätekstissä JSON-objekti, jolla on seuraavat parametrit:

Parametri Kirjoita Kuvaus
Kyselyn Teksti Suoritettava kysely. (pakollinen)

Vastaus

Jos tämä menetelmä onnistuu, se palauttaa 200 OK- menetelmän ja Kyselyvastaus-objektin vastauksen leipätekstiin.

Vastausobjekti sisältää kolme ylimmän tason ominaisuutta:

  1. Tilastot – Kyselyn suorituskykytilastojen sanasto.
  2. Rakenne – Vastauksen rakenne, luettelo Name-Type pareista kullekin sarakkeelle.
  3. Tulokset – Luettelo kehittyneestä metsästystapahtumasta.

Esimerkki

Seuraavassa esimerkissä käyttäjä lähettää alla olevan kyselyn ja vastaanottaa ohjelmointirajapinnan vastausobjektin, joka sisältää Statskohteen , Schemaja Results.

Kyselyn

{
    "Query":"DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2"
}

Vastausobjekti

{
    "Stats": {
        "ExecutionTime": 4.621215,
        "resource_usage": {
            "cache": {
                "memory": {
                    "hits": 773461,
                    "misses": 4481,
                    "total": 777942
                },
                "disk": {
                    "hits": 994,
                    "misses": 197,
                    "total": 1191
                }
            },
            "cpu": {
                "user": "00:00:19.0468750",
                "kernel": "00:00:00.0156250",
                "total cpu": "00:00:19.0625000"
            },
            "memory": {
                "peak_per_node": 236822432
            }
        },
        "dataset_statistics": [
            {
                "table_row_count": 2,
                "table_size": 102
            }
        ]
    },
    "Schema": [
        {
            "Name": "Timestamp",
            "Type": "DateTime"
        },
        {
            "Name": "FileName",
            "Type": "String"
        },
        {
            "Name": "InitiatingProcessFileName",
            "Type": "String"
        }
    ],
    "Results": [
        {
            "Timestamp": "2020-08-30T06:38:35.7664356Z",
            "FileName": "conhost.exe",
            "InitiatingProcessFileName": "powershell.exe"
        },
        {
            "Timestamp": "2020-08-30T06:38:30.5163363Z",
            "FileName": "conhost.exe",
            "InitiatingProcessFileName": "powershell.exe"
        }
    ]
}

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.