API של ציד מתקדם
חל על:
אזהרה
ממשק API מתקדם זה לציד הוא גירסה ישנה יותר עם יכולות מוגבלות. גירסה מקיפה יותר של ה- API המתקדם לציד שניתן לבצע שאילתה על טבלאות נוספות כבר זמינה ב- API של האבטחה של Microsoft Graph. ראה ציד מתקדם באמצעות API של אבטחה של Microsoft Graph
רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
הערה
אם אתה לקוח של ממשלת ארה"ב, השתמש בURI המפורטים ב - Microsoft Defender for Endpoint עבור לקוחות של ממשלת ארה"ב.
עצה
לקבלת ביצועים טובים יותר, באפשרותך להשתמש בשרת קרוב יותר למיקום הגיאוגרפי שלך:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
מגבלות
באפשרותך להפעיל שאילתה רק על נתונים מ- 30 הימים האחרונים.
התוצאות כוללות עד 100,000 שורות.
מספר הביצועים מוגבל לכל דייר:
- קריאות API: עד 45 שיחות לדקה, עד 1,500 שיחות בשעה.
- זמן ביצוע: 10 דקות של זמן ריצה מדי שעה ו- 3 שעות של זמן ריצה ביום.
זמן הביצוע המרבי של בקשה אחת הוא 200 שניות.
429
התגובה מייצגת הגעה למגבלת המיכסה לפי מספר בקשות או לפי CPU. קרא את גוף התגובה כדי להבין באיזו מגבלה הגעת.הגודל המרבי של תוצאת שאילתה של בקשה יחידה אינו יכול לחרוג מ- 124 MB. אם בוצעה חריגה, בקשת HTTP 400 שגויה עם ההודעה "ביצוע שאילתה חרג מגודל התוצאה המותר. מטב את השאילתה על-ידי הגבלת מספר התוצאות ונסה שוב" מתרחשת.
הרשאות
אחת מההרשאות הבאות נדרשת כדי לקרוא ל- API זה. לקבלת מידע נוסף, כולל כיצד לבחור הרשאות, ראה שימוש ב- Microsoft Defender עבור ממשקי API של נקודת קצה
סוג הרשאה | הרשאה | שם תצוגה של הרשאה |
---|---|---|
יישום | AdvancedQuery.Read.All | Run advanced queries |
מוסמך (חשבון בעבודה או בבית ספר) | AdvancedQuery.Read | Run advanced queries |
הערה
בעת השגת אסימון באמצעות אישורי משתמש:
- המשתמש צריך להקצות את התפקיד
View Data
במזהה Entra של Microsoft - למשתמש צריכה להיות גישה למכשיר, בהתבסס על הגדרות קבוצת מכשירים (ראה יצירה וניהול של קבוצות מכשירים לקבלת מידע נוסף)
יצירת קבוצת מכשירים נתמכת ב- Defender for Endpoint Plan 1 ובתוכנית 2.
בקשת HTTP
POST https://api.securitycenter.microsoft.com/api/advancedqueries/run
כותרות בקשות
כותרת עליונה | ערך: |
---|---|
ההרשאות | נושא {token}. נדרש . |
סוג תוכן | application/json |
גוף הבקשה
בגוף הבקשה, ספק אובייקט JSON עם הפרמטרים הבאים:
פרמטר | סוג | תיאור |
---|---|---|
שאילתה | Text | השאילתה שברצונך להפעיל. נדרש . |
תגובה
אם שיטה זו הצליחה, היא מחזירה 200 אישור, ואת האובייקט QueryResponse בגוף התגובה.
דוגמה
דוגמה לבקשה
להלן דוגמה לבקשה.
POST https://api.securitycenter.microsoft.com/api/advancedqueries/run
{
"Query":"DeviceProcessEvents
|where InitiatingProcessFileName =~ 'powershell.exe'
|where ProcessCommandLine contains 'appdata'
|project Timestamp, FileName, InitiatingProcessFileName, DeviceId
|limit 2"
}
דוגמה לתגובה
להלן דוגמה לתגובה.
הערה
אובייקט התגובה המוצג כאן עשוי להיחתך לתדירות. כל המאפיינים יוחזרו משיחה בפועל.
{
"Schema": [
{
"Name": "Timestamp",
"Type": "DateTime"
},
{
"Name": "FileName",
"Type": "String"
},
{
"Name": "InitiatingProcessFileName",
"Type": "String"
},
{
"Name": "DeviceId",
"Type": "String"
}
],
"Results": [
{
"Timestamp": "2020-02-05T01:10:26.2648757Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe",
"DeviceId": "10cbf9182d4e95660362f65cfa67c7731f62fdb3"
},
{
"Timestamp": "2020-02-05T01:10:26.5614772Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe",
"DeviceId": "10cbf9182d4e95660362f65cfa67c7731f62fdb3"
}
]
}
מאמרים קשורים
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.