API voor geavanceerde opsporing

Van toepassing op:

• Microsoft Defender voor Eindpunt

Waarschuwing

Deze geavanceerde opsporings-API is een oudere versie met beperkte mogelijkheden. Een uitgebreidere versie van de geavanceerde opsporings-API waarmee meer tabellen kunnen worden opgevraagd, is al beschikbaar in de Microsoft Graph-beveiligings-API. Zie Geavanceerde opsporing met microsoft Graph-beveiligings-API

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Opmerking

Als u een klant van de Amerikaanse overheid bent, gebruikt u de URI's die worden vermeld in Microsoft Defender voor Eindpunt voor klanten van de Amerikaanse overheid.

Tip

Voor betere prestaties kunt u de server dichter bij uw geografische locatie gebruiken:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com
• ina.api.security.microsoft.com

Beperkingen

1. U kunt alleen een query uitvoeren op gegevens van de afgelopen 30 dagen.

2. De resultaten bevatten maximaal 100.000 rijen.

3. Het aantal uitvoeringen is beperkt per tenant:

   • API-aanroepen: maximaal 45 aanroepen per minuut en maximaal 1500 aanroepen per uur.
   • Uitvoeringstijd: 10 minuten uitvoeringstijd per uur en 3 uur uitvoeringstijd per dag.

4. De maximale uitvoeringstijd van één aanvraag is 200 seconden.

5. 429 antwoord vertegenwoordigt het bereiken van de quotumlimiet door het aantal aanvragen of door cpu. Lees de hoofdtekst van de reactie om te begrijpen welke limiet is bereikt.

6. De maximale grootte van het queryresultaat van één aanvraag mag niet groter zijn dan 124 MB. Indien overschreden, een HTTP 400 Ongeldige aanvraag met het bericht 'Queryuitvoering heeft de toegestane resultaatgrootte overschreden. Optimaliseer uw query door het aantal resultaten te beperken en probeer het opnieuw' treedt op.

Machtigingen

Een van de volgende machtigingen is vereist om deze API aan te roepen. Zie Microsoft Defender voor Eindpunt-API's gebruiken voor meer informatie, waaronder het kiezen van machtigingen.

Machtigingstype	Machtiging	Weergavenaam van machtiging
Toepassing	AdvancedQuery.Read.All	Run advanced queries
Gedelegeerd (werk- of schoolaccount)	AdvancedQuery.Read	Run advanced queries

Opmerking

Bij het verkrijgen van een token met behulp van gebruikersreferenties:

• Aan de gebruiker moet de View Data rol zijn toegewezen in Microsoft Entra ID
• De gebruiker moet toegang hebben tot het apparaat, op basis van apparaatgroepsinstellingen (zie Apparaatgroepen maken en beheren voor meer informatie)

Het maken van een apparaatgroep wordt ondersteund in Defender for Endpoint Plan 1 en Plan 2.

HTTP-aanvraag

POST https://api.securitycenter.microsoft.com/api/advancedqueries/run

Aanvraagheaders

Header	Waarde
Machtiging	Bearer {token}. Vereist.
Content-Type	application/json

Aanvraagtekst

Geef in de aanvraagtekst een JSON-object op met de volgende parameters:

Parameter	Type	Beschrijving
Vraag	Tekst	De query die moet worden uitgevoerd. Vereist.

Antwoord

Als dit lukt, retourneert deze methode 200 OK en het object QueryResponse in de antwoordtekst.

Voorbeeld

Voorbeeld van aanvraag

Hier volgt een voorbeeld van de aanvraag.

POST https://api.securitycenter.microsoft.com/api/advancedqueries/run

{
    "Query":"DeviceProcessEvents
|where InitiatingProcessFileName =~ 'powershell.exe'
|where ProcessCommandLine contains 'appdata'
|project Timestamp, FileName, InitiatingProcessFileName, DeviceId
|limit 2"
}

Antwoordvoorbeeld

Hier volgt een voorbeeld van het antwoord.

Opmerking

Het antwoordobject dat hier wordt weergegeven, kan kort zijn afgekapt. Alle eigenschappen worden geretourneerd vanuit een werkelijke aanroep.

{
    "Schema": [
        {
            "Name": "Timestamp",
            "Type": "DateTime"
        },
        {
            "Name": "FileName",
            "Type": "String"
        },
        {
            "Name": "InitiatingProcessFileName",
            "Type": "String"
        },
        {
            "Name": "DeviceId",
            "Type": "String"
        }
    ],
    "Results": [
        {
            "Timestamp": "2020-02-05T01:10:26.2648757Z",
            "FileName": "csc.exe",
            "InitiatingProcessFileName": "powershell.exe",
            "DeviceId": "10cbf9182d4e95660362f65cfa67c7731f62fdb3"
        },
        {
            "Timestamp": "2020-02-05T01:10:26.5614772Z",
            "FileName": "csc.exe",
            "InitiatingProcessFileName": "powershell.exe",
            "DeviceId": "10cbf9182d4e95660362f65cfa67c7731f62fdb3"
        }
    ]
}

Verwante artikelen

• De Microsoft Graph-beveiligings-API gebruiken - Microsoft Graph | Microsoft Learn

• Inleiding tot Microsoft Defender voor Eindpunt-API's

• Geavanceerde opsporing vanuit portal

• Geavanceerde opsporing met behulp van PowerShell

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.