Speciális veszélyforrás-keresési API

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender

Figyelmeztetés

Ez a speciális veszélyforrás-keresési API egy régebbi verzió, korlátozott képességekkel. A speciális veszélyforrás-keresési API átfogóbb verziója, amely több táblát tud lekérdezni, már elérhető a Microsoft Graph biztonsági API-ban. Lásd: Speciális veszélyforrás-keresés a Microsoft Graph security API használatával

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

Megjegyzés:

Ha Ön az USA kormányzati szerveinek ügyfele, használja a Végponthoz készült Microsoft Defender-ben felsorolt URI-kat az USA kormányzati ügyfelei számára.

Tipp

A jobb teljesítmény érdekében a földrajzi helyhez közelebbi kiszolgálót használhat:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com

Korlátozások

1. Lekérdezést csak az elmúlt 30 nap adatain futtathat.

2. Az eredmények legfeljebb 100 000 sort tartalmazhatnak.

3. A végrehajtások száma bérlőnként korlátozott:

   • API-hívások: Percenként legfeljebb 45 hívás, óránként pedig legfeljebb 1500 hívás.
   • Végrehajtási idő: óránként 10 perc futási idő és napi 3 óra futási idő.

4. Egyetlen kérés maximális végrehajtási ideje 200 másodperc.

5. 429 A válasz a kvótakorlát elérését jelenti a kérések száma vagy a PROCESSZOR szerint. A válasz törzsének olvasása annak megértéséhez, hogy milyen korlátot ért el.

6. Egyetlen kérelem lekérdezési eredményének maximális mérete nem haladhatja meg a 124 MB-ot. Ha túllépi a korlátot, egy HTTP 400 Hibás kérés a következő üzenettel: "A lekérdezés végrehajtása túllépte az engedélyezett eredményméretet. Optimalizálja a lekérdezést az eredmények számának korlátozásával, és próbálkozzon újra".

Engedélyek

Az API meghívásához az alábbi engedélyek egyikére van szükség. További információ, többek között az engedélyek kiválasztása: Végponthoz készült Microsoft Defender API-k használata

Engedély típusa	Engedély	Engedély megjelenítendő neve
Alkalmazás	AdvancedQuery.Read.All	Run advanced queries
Delegált (munkahelyi vagy iskolai fiók)	AdvancedQuery.Read	Run advanced queries

Megjegyzés:

Jogkivonat felhasználói hitelesítő adatokkal történő beszerzésekor:

• A felhasználónak hozzá kell rendelnie a szerepkört a View Data Microsoft Entra ID
• A felhasználónak hozzáféréssel kell rendelkeznie az eszközhöz az eszközcsoport beállításai alapján (további információt az eszközcsoportok Létrehozás és kezelése című témakörben talál).

Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.

HTTP-kérés

POST https://api.securitycenter.microsoft.com/api/advancedqueries/run

Kérelemfejlécek

Fejléc	Érték
Engedélyezési	Tulajdonos : {token}. Kötelező megadni.
Tartalomtípus	application/json

Kérelem törzse

A kérelem törzsében adjon meg egy JSON-objektumot a következő paraméterekkel:

Paraméter	Típus	Leírás
Lekérdezés	Szöveg	A futtatni kívánt lekérdezés. Kötelező megadni.

Válasz

Ha sikerült, ez a metódus a 200 OK értéket adja vissza, a QueryResponse objektumot pedig a válasz törzsében.

Példa

Példa kérésre

Íme egy példa a kérésre.

POST https://api.securitycenter.microsoft.com/api/advancedqueries/run

{
    "Query":"DeviceProcessEvents
|where InitiatingProcessFileName =~ 'powershell.exe'
|where ProcessCommandLine contains 'appdata'
|project Timestamp, FileName, InitiatingProcessFileName, DeviceId
|limit 2"
}

Példa válaszra

Íme egy példa a válaszra.

Megjegyzés:

Előfordulhat, hogy az itt látható válaszobjektum csonkul a rövidség kedvéért. A rendszer az összes tulajdonságot visszaadja egy tényleges hívásból.

{
    "Schema": [
        {
            "Name": "Timestamp",
            "Type": "DateTime"
        },
        {
            "Name": "FileName",
            "Type": "String"
        },
        {
            "Name": "InitiatingProcessFileName",
            "Type": "String"
        },
        {
            "Name": "DeviceId",
            "Type": "String"
        }
    ],
    "Results": [
        {
            "Timestamp": "2020-02-05T01:10:26.2648757Z",
            "FileName": "csc.exe",
            "InitiatingProcessFileName": "powershell.exe",
            "DeviceId": "10cbf9182d4e95660362f65cfa67c7731f62fdb3"
        },
        {
            "Timestamp": "2020-02-05T01:10:26.5614772Z",
            "FileName": "csc.exe",
            "InitiatingProcessFileName": "powershell.exe",
            "DeviceId": "10cbf9182d4e95660362f65cfa67c7731f62fdb3"
        }
    ]
}

Kapcsolódó cikkek

• A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn

• Végponthoz készült Microsoft Defender API-k bemutatása

• Speciális veszélyforrás-keresés a portálról

• Speciális veszélyforrás-keresés a PowerShell használatával

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.