Microsoft Defender XDR Advanced Hunting API

Érintett szolgáltatás:

• Microsoft Defender XDR

Figyelmeztetés

Ez a speciális veszélyforrás-keresési API egy régebbi verzió, korlátozott képességekkel. A speciális veszélyforrás-keresési API átfogóbb verziója már elérhető a Microsoft Graph biztonsági API-ban. Lásd: Speciális veszélyforrás-keresés a Microsoft Graph security API használatával

Fontos

Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

A speciális veszélyforrás-keresés egy veszélyforrás-keresési eszköz, amely speciálisan összeállított lekérdezésekkel vizsgálja meg az elmúlt 30 nap eseményadatait Microsoft Defender XDR. A speciális veszélyforrás-keresési lekérdezésekkel megvizsgálhatja a szokatlan tevékenységeket, észlelheti a lehetséges fenyegetéseket, és akár reagálhat a támadásokra is. A speciális veszélyforrás-keresési API lehetővé teszi az eseményadatok programozott lekérdezését.

Kvóták és erőforrás-kiosztás

Az alábbi feltételek az összes lekérdezésre vonatkoznak.

1. A lekérdezések az elmúlt 30 nap adatait tárják fel és adják vissza.
2. Az eredmények legfeljebb 100 000 sort adhatnak vissza.
3. Bérlőnként percenként legalább 45 hívást indíthat. A hívások száma bérlőnként változhat a méretétől függően.
4. Az egyes bérlők a bérlő mérete alapján kapnak cpu-erőforrásokat. A lekérdezések le lesznek tiltva, ha a bérlő elérte a lefoglalt erőforrások 100%-át a következő 15 perces ciklusig. A túlzott használat miatti blokkolt lekérdezések elkerülése érdekében kövesse a Lekérdezések optimalizálása a cpu-kvóták elérésének elkerülése érdekében című témakör útmutatását.
5. Ha egy kérelem három percnél hosszabb ideig fut, túllépi az időkorlátot, és hibát ad vissza.
6. A 429 HTTP-válaszkód azt jelzi, hogy elérte a lefoglalt CPU-erőforrásokat az elküldött kérések száma vagy a kiosztott futási idő alapján. Olvassa el a válasz törzsét az elért korlát megértéséhez.

Engedélyek

A speciális veszélyforrás-keresési API meghívásához az alábbi engedélyek egyikére van szükség. További információ, többek között az engedélyek kiválasztásának módjáról: Access the Microsoft Defender XDR Protection API-k.

Engedély típusa	Engedély	Engedély megjelenítendő neve
Alkalmazás	AdvancedHunting.Read.All	Speciális lekérdezések futtatása
Delegált (munkahelyi vagy iskolai fiók)	AdvancedHunting.Read	Speciális lekérdezések futtatása

Megjegyzés:

Jogkivonat felhasználói hitelesítő adatokkal történő beszerzésekor:

• A felhasználónak "Adatok megtekintése" szerepkörrel kell rendelkeznie.
• A felhasználónak hozzáféréssel kell rendelkeznie az eszközhöz az eszközcsoport beállításai alapján.

HTTP-kérés

POST https://api.security.microsoft.com/api/advancedhunting/run

Kérelemfejlécek

Fejléc	Érték
Engedélyezési	Tulajdonos {token} Megjegyzés: kötelező
Tartalomtípus	application/json

Kérelem törzse

A kérelem törzsében adjon meg egy JSON-objektumot a következő paraméterekkel:

Paraméter	Típus	Leírás
Lekérdezés	Szöveg	A futtatni kívánt lekérdezés. (kötelező)

Válasz

Ha a metódus sikeres, a metódus egy QueryResponse objektumot ad vissza 200 OKa válasz törzsében.

A válaszobjektum három legfelső szintű tulajdonságot tartalmaz:

1. Statisztikák – A lekérdezési teljesítmény statisztikáinak szótára.
2. Séma – A válasz sémája, az egyes oszlopokhoz tartozó Name-Type párok listája.
3. Eredmények – A speciális veszélyforrás-keresési események listája.

Példa

A következő példában egy felhasználó elküldi az alábbi lekérdezést, és kap egy API-válaszobjektumot, amely tartalmazza a Statskövetkezőt: , Schemaés Results.

Lekérdezés

{
    "Query":"DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2"
}

Válaszobjektum

{
    "Stats": {
        "ExecutionTime": 4.621215,
        "resource_usage": {
            "cache": {
                "memory": {
                    "hits": 773461,
                    "misses": 4481,
                    "total": 777942
                },
                "disk": {
                    "hits": 994,
                    "misses": 197,
                    "total": 1191
                }
            },
            "cpu": {
                "user": "00:00:19.0468750",
                "kernel": "00:00:00.0156250",
                "total cpu": "00:00:19.0625000"
            },
            "memory": {
                "peak_per_node": 236822432
            }
        },
        "dataset_statistics": [
            {
                "table_row_count": 2,
                "table_size": 102
            }
        ]
    },
    "Schema": [
        {
            "Name": "Timestamp",
            "Type": "DateTime"
        },
        {
            "Name": "FileName",
            "Type": "String"
        },
        {
            "Name": "InitiatingProcessFileName",
            "Type": "String"
        }
    ],
    "Results": [
        {
            "Timestamp": "2020-08-30T06:38:35.7664356Z",
            "FileName": "conhost.exe",
            "InitiatingProcessFileName": "powershell.exe"
        },
        {
            "Timestamp": "2020-08-30T06:38:30.5163363Z",
            "FileName": "conhost.exe",
            "InitiatingProcessFileName": "powershell.exe"
        }
    ]
}

Kapcsolódó cikkek

• A Microsoft Graph biztonsági API használata – Microsoft Graph | Microsoft Learn

• Az Microsoft Defender XDR API-k elérése

• További információ az API-korlátokról és a licencelésről

• A hibakódok ismertetése

• Speciális veszélyforrás-keresés áttekintése

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.