API של ציד מתקדם
חל על:
אזהרה
ממשק API מתקדם זה לציד הוא גירסה ישנה יותר עם יכולות מוגבלות. גירסה מקיפה יותר של ה- API המתקדם לציד שניתן לבצע שאילתה על טבלאות נוספות כבר זמינה ב- API של האבטחה של Microsoft Graph. ראה ציד מתקדם באמצעות API של אבטחה של Microsoft Graph
רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
הערה
אם אתה לקוח של ממשלת ארה"ב, השתמש בURI המפורטים ב- Microsoft Defender עבור נקודת קצה עבור לקוחות של ממשלת ארה"ב.
עצה
לקבלת ביצועים טובים יותר, באפשרותך להשתמש בשרת קרוב יותר למיקום הגיאוגרפי שלך:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
מגבלות
באפשרותך להפעיל שאילתה רק על נתונים מ- 30 הימים האחרונים.
התוצאות כוללות עד 100,000 שורות.
מספר הביצועים מוגבל לכל דייר:
- קריאות API: עד 45 שיחות לדקה, עד 1,500 שיחות בשעה.
- זמן ביצוע: 10 דקות של זמן ריצה מדי שעה ו- 3 שעות של זמן ריצה ביום.
זמן הביצוע המרבי של בקשה אחת הוא 200 שניות.
429התגובה מייצגת הגעה למגבלת המיכסה לפי מספר בקשות או לפי CPU. קרא את גוף התגובה כדי להבין באיזו מגבלה הגעת.הגודל המרבי של תוצאת שאילתה של בקשה יחידה אינו יכול לחרוג מ- 124 MB. אם בוצעה חריגה, בקשת HTTP 400 שגויה עם ההודעה "ביצוע שאילתה חרג מגודל התוצאה המותר. מטב את השאילתה על-ידי הגבלת מספר התוצאות ונסה שוב" מתרחשת.
הרשאות
אחת מההרשאות הבאות נדרשת כדי לקרוא ל- API זה. לקבלת מידע נוסף, כולל כיצד לבחור הרשאות, ראה שימוש בממשקי Microsoft Defender עבור נקודת קצה API
| סוג הרשאה | הרשאה | שם תצוגה של הרשאה |
|---|---|---|
| יישום | AdvancedQuery.Read.All | Run advanced queries |
| מוסמך (חשבון בעבודה או בבית ספר) | AdvancedQuery.Read | Run advanced queries |
הערה
בעת השגת אסימון באמצעות אישורי משתמש:
- המשתמש צריך להקצות את
View Dataהתפקיד Microsoft Entra מזהה - למשתמש צריכה להיות גישה למכשיר, בהתבסס על הגדרות קבוצת מכשירים (ראה Create ולנהל קבוצות מכשירים לקבלת מידע נוסף)
יצירת קבוצת מכשירים נתמכת ב- Defender for Endpoint Plan 1 ובתוכנית 2.
בקשת HTTP
POST https://api.securitycenter.microsoft.com/api/advancedqueries/run
כותרות בקשות
| כותרת עליונה | ערך: |
|---|---|
| ההרשאות | נושא {token}. נדרש . |
| סוג תוכן | application/json |
גוף הבקשה
בגוף הבקשה, ספק אובייקט JSON עם הפרמטרים הבאים:
| פרמטר | סוג | תיאור |
|---|---|---|
| שאילתה | Text | השאילתה שברצונך להפעיל. נדרש . |
תגובה
אם שיטה זו הצליחה, היא מחזירה 200 אישור, ואת האובייקט QueryResponse בגוף התגובה.
דוגמה
דוגמה לבקשה
להלן דוגמה לבקשה.
POST https://api.securitycenter.microsoft.com/api/advancedqueries/run
{
"Query":"DeviceProcessEvents
|where InitiatingProcessFileName =~ 'powershell.exe'
|where ProcessCommandLine contains 'appdata'
|project Timestamp, FileName, InitiatingProcessFileName, DeviceId
|limit 2"
}
דוגמה לתגובה
להלן דוגמה לתגובה.
הערה
אובייקט התגובה המוצג כאן עשוי להיחתך לתדירות. כל המאפיינים יוחזרו משיחה בפועל.
{
"Schema": [
{
"Name": "Timestamp",
"Type": "DateTime"
},
{
"Name": "FileName",
"Type": "String"
},
{
"Name": "InitiatingProcessFileName",
"Type": "String"
},
{
"Name": "DeviceId",
"Type": "String"
}
],
"Results": [
{
"Timestamp": "2020-02-05T01:10:26.2648757Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe",
"DeviceId": "10cbf9182d4e95660362f65cfa67c7731f62fdb3"
},
{
"Timestamp": "2020-02-05T01:10:26.5614772Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe",
"DeviceId": "10cbf9182d4e95660362f65cfa67c7731f62fdb3"
}
]
}
מאמרים קשורים
השתמש ב- API של אבטחת Microsoft Graph - Microsoft Graph | Microsoft Learn
מבוא Microsoft Defender עבור נקודת קצה API של Microsoft Defender עבור נקודת קצה
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור