Microsoft Defender XDR API מתקדם לציד
חל על:
- Microsoft Defender XDR
אזהרה
ממשק API מתקדם זה לציד הוא גירסה ישנה יותר עם יכולות מוגבלות. גירסה מקיפה יותר של ה- API המתקדם לציד כבר זמינה ב- API של האבטחה של Microsoft Graph. ראה ציד מתקדם באמצעות API של אבטחה של Microsoft Graph
חשוב
חלק מהמידע מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.
ציד מתקדם הוא כלי ציד איומים שמשתמש בשאילתות שנבנו במיוחד כדי לבחון את 30 הימים האחרונים של נתוני אירוע Microsoft Defender XDR. באפשרותך להשתמש בשאילתות ציד מתקדמות כדי לבדוק פעילות חריגה, לזהות איומים אפשריים ואפילו להגיב למתקפות. ממשק ה- API המתקדם לציד מאפשר לך לבצע שאילתה על נתוני אירוע באופן תיכנותי.
מיכסות והקצאת משאבים
התנאים הבאים קשורים לכל השאילתות.
- שאילתות חוקרות ומחזירות נתונים מ- 30 הימים האחרונים.
- התוצאות יכולות להחזיר עד 100,000 שורות.
- באפשרותך לבצע עד 45 שיחות בדקה לכל דייר. מספר השיחות משתנה לכל דייר בהתבסס על גודלו.
- לכל דייר מוקצים משאבי CPU, בהתבסס על גודל הדייר. שאילתות נחסמות אם הדייר הגיע ל- 100% מהמשאבים המוקצים עד לאחר מחזור 15 הדקות הבא. כדי להימנע מהשאילתות החסומים עקב צריכה מיותרת, בצע את ההנחיות במאמר מיטוב השאילתות שלך כדי להימנע מפגיעה במיכסות CPU.
- אם בקשה אחת פועלת במשך יותר משלוש דקות, הזמן אוזל ומחזיר שגיאה.
- קוד
429תגובת HTTP מציין שהגעת למשאבי ה- CPU המוקצים, לפי מספר הבקשות שנשלחו, או לפי זמן ריצה שהוקצה. קרא את גוף התגובה כדי להבין את המגבלה שהגעת לה.
הרשאות
אחת מההרשאות הבאות נדרשת כדי לקרוא ל- API מתקדם לציד. לקבלת מידע נוסף, כולל אופן בחירת הרשאות, ראה גישה אל ממשקי ה- API של Microsoft Defender XDR הגנה.
| סוג הרשאה | הרשאה | שם תצוגה של הרשאה |
|---|---|---|
| יישום | AdvancedHunting.Read.All | הפעלת שאילתות מתקדמות |
| מוסמך (חשבון בעבודה או בבית ספר) | AdvancedHunting.Read | הפעלת שאילתות מתקדמות |
הערה
בעת השגת אסימון באמצעות אישורי משתמש:
- המשתמש צריך להיות בעל התפקיד 'הצג נתונים'.
- למשתמש צריכה להיות גישה למכשיר, בהתבסס על ההגדרות של קבוצת המכשירים.
בקשת HTTP
POST https://api.security.microsoft.com/api/advancedhunting/run
כותרות בקשות
| כותרת עליונה | ערך: |
|---|---|
| ההרשאות | נושא {token} הערה: נדרש |
| סוג תוכן | application/json |
גוף הבקשה
בגוף הבקשה, ספק אובייקט JSON עם הפרמטרים הבאים:
| פרמטר | סוג | תיאור |
|---|---|---|
| שאילתה | Text | השאילתה שברצונך להפעיל. (נדרש) |
תגובה
אם שיטה זו הצליחה, היא 200 OKתחזיר את אובייקט QueryResponse בגוף התגובה.
אובייקט התגובה מכיל שלושה מאפיינים ברמה העליונה:
- Stats - מילון של סטטיסטיקת ביצועי שאילתה.
- Schema - סכימת התגובה, רשימה של זוגות Name-Type עבור כל עמודה.
- תוצאות - רשימה של אירועי ציד מתקדמים.
דוגמה
בדוגמה הבאה, משתמש שולח את השאילתה להלן ומקבל אובייקט תגובה של API המכיל Statsאת , Schemaו- Results.
שאילתה
{
"Query":"DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2"
}
אובייקט תגובה
{
"Stats": {
"ExecutionTime": 4.621215,
"resource_usage": {
"cache": {
"memory": {
"hits": 773461,
"misses": 4481,
"total": 777942
},
"disk": {
"hits": 994,
"misses": 197,
"total": 1191
}
},
"cpu": {
"user": "00:00:19.0468750",
"kernel": "00:00:00.0156250",
"total cpu": "00:00:19.0625000"
},
"memory": {
"peak_per_node": 236822432
}
},
"dataset_statistics": [
{
"table_row_count": 2,
"table_size": 102
}
]
},
"Schema": [
{
"Name": "Timestamp",
"Type": "DateTime"
},
{
"Name": "FileName",
"Type": "String"
},
{
"Name": "InitiatingProcessFileName",
"Type": "String"
}
],
"Results": [
{
"Timestamp": "2020-08-30T06:38:35.7664356Z",
"FileName": "conhost.exe",
"InitiatingProcessFileName": "powershell.exe"
},
{
"Timestamp": "2020-08-30T06:38:30.5163363Z",
"FileName": "conhost.exe",
"InitiatingProcessFileName": "powershell.exe"
}
]
}
מאמרים קשורים
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.