Condividi tramite


Raccogliere l'API del pacchetto di analisi

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Nota

Se si è un cliente del governo degli Stati Uniti, usare gli URI elencati in Microsoft Defender per endpoint per i clienti del governo degli Stati Uniti.

Consiglio

Per ottenere prestazioni migliori, è possibile usare il server più vicino alla posizione geografica:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Descrizione DELL'API

Raccogliere il pacchetto di indagine da un dispositivo.

Limitazioni

  1. Le limitazioni di frequenza per questa API sono 100 chiamate al minuto e 1500 chiamate all'ora.

Importante

  • Queste azioni di risposta sono disponibili solo per i dispositivi in Windows 10, versione 1703 o successiva e in Windows 11.

Autorizzazioni

Per chiamare questa API è necessaria una delle autorizzazioni seguenti. Per altre informazioni, incluso come scegliere le autorizzazioni, vedere Usare le API di Defender per endpoint

Tipo di autorizzazione Autorizzazione Nome visualizzato autorizzazioni
Applicazione Machine.CollectForensics "Raccogliere dati forensi"
Delegato (account aziendale o dell'istituto di istruzione) Machine.CollectForensics "Raccogliere dati forensi"

Nota

Quando si ottiene un token usando le credenziali utente:

  • L'utente deve disporre almeno dell'autorizzazione del ruolo seguente: 'Analisi avvisi' (vedere Creare e gestire ruoli per altre informazioni)
  • L'utente deve avere accesso al dispositivo in base alle impostazioni del gruppo di dispositivi (vedere Creare e gestire gruppi di dispositivi per altre informazioni)

La creazione di gruppi di dispositivi è supportata in Defender per endpoint Piano 1 e Piano 2.

Richiesta HTTP

POST https://api.securitycenter.microsoft.com/api/machines/{id}/collectInvestigationPackage

Intestazioni di richiesta

Nome Tipo Descrizione
Autorizzazione Stringa Bearer {token}. Obbligatorio.
Content-Type stringa application/json. Obbligatorio.

Corpo della richiesta

Nel corpo della richiesta specificare un oggetto JSON con i parametri seguenti:

Parametro Tipo Descrizione
Comment Stringa Commento da associare all'azione. Obbligatorio.

Risposta

In caso di esito positivo, questo metodo restituisce 201 - Codice di risposta creato e Azione computer nel corpo della risposta. Se una raccolta è già in esecuzione, restituisce 400 richieste non valido.

Esempio

Richiesta

Di seguito è riportato un esempio della richiesta.

POST https://api.securitycenter.microsoft.com/api/machines/fb9ab6be3965095a09c057be7c90f0a2/collectInvestigationPackage
{
  "Comment": "Collect forensics due to alert 1234"
}

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.