調査パッケージ API を収集する
適用対象:
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
注:
米国政府機関のお客様は、 Microsoft Defender for Endpoint for US Government のお客様に記載されている URI を使用してください。
ヒント
パフォーマンスを向上させるために、地理的な場所に近いサーバーを使用できます。
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API の説明
デバイスから調査パッケージを収集します。
制限事項
- この API のレート制限は、1 分あたり 100 呼び出しと 1 時間あたり 1500 呼び出しです。
重要
- これらの応答アクションは、Windows 10、バージョン 1703 以降、および Windows 11 のデバイスでのみ使用できます。
アクセス許可
この API を呼び出すには、次のいずれかのアクセス許可が必要です。 アクセス許可の選択方法など、詳細については、「Defender for Endpoint API を使用する」を参照してください。
| アクセス許可の種類 | アクセス許可 | アクセス許可の表示名 |
|---|---|---|
| アプリケーション | Machine.CollectForensics | 'フォレンジックの収集' |
| 委任 (職場または学校のアカウント) | Machine.CollectForensics | 'フォレンジックの収集' |
注:
ユーザー資格情報を使用してトークンを取得する場合:
- ユーザーには、少なくとも "アラート調査" というロールアクセス許可が必要です (詳細については、「 ロールの作成と管理 」を参照してください)
- ユーザーは、デバイス グループの設定に基づいてデバイスにアクセスできる必要があります (詳細については、「 デバイス グループの作成と管理 」を参照してください)
デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。
HTTP 要求
POST https://api.securitycenter.microsoft.com/api/machines/{id}/collectInvestigationPackage
要求ヘッダー
| 名前 | 型 | 説明 |
|---|---|---|
| Authorization | String | ベアラー {token}。 必須。 |
| Content-Type | string | application/json. 必須。 |
要求本文
要求本文で、JSON オブジェクトに次のパラメーターを指定します。
| パラメーター | 型 | 説明 |
|---|---|---|
| コメント | 文字列 | アクションに関連付けるコメント。 必須。 |
応答
成功した場合、このメソッドは応答本文で 201 - 作成された応答コードと Machine Action を 返します。 コレクションが既に実行されている場合は、400 の無効な要求が返されます。
例
要求
以下は、要求の例です。
POST https://api.securitycenter.microsoft.com/api/machines/fb9ab6be3965095a09c057be7c90f0a2/collectInvestigationPackage
{
"Comment": "Collect forensics due to alert 1234"
}
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。