Isolare l'API del computer
Si applica a:
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Nota
Se si è un cliente del governo degli Stati Uniti, usare gli URI elencati in Microsoft Defender per endpoint per i clienti del governo degli Stati Uniti.
Consiglio
Per ottenere prestazioni migliori, è possibile usare il server più vicino alla posizione geografica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Descrizione DELL'API
Isola un dispositivo dall'accesso alla rete esterna.
Limitazioni
- Le limitazioni di frequenza per questa API sono 100 chiamate al minuto e 1500 chiamate all'ora.
Nota
Questa pagina è incentrata sull'esecuzione di un'azione del computer tramite l'API. Per altre informazioni sulla funzionalità delle azioni di risposta tramite Microsoft Defender per endpoint, vedere Eseguire azioni di risposta in un computer.
Importante
- L'isolamento completo è disponibile per i dispositivi in Windows 10, versione 1703 e Windows 11.
- L'isolamento completo è disponibile in anteprima pubblica per tutti i Microsoft Defender per endpoint supportati in Linux elencati in Requisiti di sistema.
- L'isolamento selettivo è disponibile per i dispositivi in Windows 10, versione 1709 o successiva e in Windows 11.
- Quando si isola un dispositivo, sono consentiti solo determinati processi e destinazioni. Pertanto, i dispositivi che si trovano dietro un tunnel VPN completo non saranno in grado di raggiungere il servizio cloud Microsoft Defender per endpoint dopo l'isolamento del dispositivo. È consigliabile usare una VPN di split tunneling per Microsoft Defender per endpoint e Microsoft Defender traffico correlato alla protezione basata sul cloud antivirus.
- La chiamata di questa API nei dispositivi non gestiti attiva il dispositivo contenitore dall'azione di rete .
Autorizzazioni
Per chiamare questa API è necessaria una delle autorizzazioni seguenti. Per altre informazioni, inclusa la scelta delle autorizzazioni, vedere Usare le API Microsoft Defender per endpoint
| Tipo di autorizzazione | Autorizzazione | Nome visualizzato autorizzazioni |
|---|---|---|
| Applicazione | Machine.Isolate | 'Isola macchina' |
| Delegato (account aziendale o dell'istituto di istruzione) | Machine.Isolate | 'Isola macchina' |
Nota
Quando si ottiene un token usando le credenziali utente:
- L'utente deve disporre almeno dell'autorizzazione del ruolo seguente: "Azioni di correzione attive" (per altre informazioni, vedere Creare e gestire ruoli )
- L'utente deve avere accesso al dispositivo in base alle impostazioni del gruppo di dispositivi (vedere Creare e gestire gruppi di dispositivi per altre informazioni)
La creazione di gruppi di dispositivi è supportata in Defender per endpoint Piano 1 e Piano 2.
Richiesta HTTP
POST https://api.securitycenter.microsoft.com/api/machines/{id}/isolate
Intestazioni di richiesta
| Nome | Tipo | Descrizione |
|---|---|---|
| Autorizzazione | Stringa | Bearer {token}. Obbligatorio. |
| Content-Type | stringa | application/json. Obbligatorio. |
Corpo della richiesta
Nel corpo della richiesta specificare un oggetto JSON con i parametri seguenti:
| Parametro | Tipo | Descrizione |
|---|---|---|
| Comment | Stringa | Commento da associare all'azione. Obbligatorio. |
| IsolationType | Stringa | Tipo di isolamento. I valori consentiti sono: 'Full' o 'Selective'. |
IsolationType controlla il tipo di isolamento da eseguire e può essere uno dei seguenti:
- Completo: isolamento completo
- Selettivo: limita solo un set limitato di applicazioni dall'accesso alla rete (vedere Isolare i dispositivi dalla rete per altri dettagli)
Risposta
In caso di esito positivo, questo metodo restituisce 201 - Codice di risposta creato e Azione computer nel corpo della risposta.
Esempio
Richiesta
Di seguito è riportato un esempio della richiesta.
POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/isolate
{
"Comment": "Isolate machine due to alert 1234",
"IsolationType": "Full"
}
- Per rilasciare un dispositivo dall'isolamento, vedere Rilasciare il dispositivo dall'isolamento.
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.