Uzyskiwanie interfejsu API informacji o plikach powiązanych z alertami
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto bezpłatnej wersji próbnej.
Uwaga
Jeśli jesteś klientem rządowym USA, użyj identyfikatorów URI wymienionych w usłudze Microsoft Defender for Endpoint dla klientów rządowych USA.
Porada
Aby uzyskać lepszą wydajność, możesz użyć serwera bliżej lokalizacji geograficznej:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Opis interfejsu API
Pobiera wszystkie pliki związane z określonym alertem.
Ograniczenia
- Możesz wykonywać zapytania dotyczące alertów ostatnio aktualizowanych zgodnie ze skonfigurowanym okresem przechowywania.
- Ograniczenia szybkości dla tego interfejsu API to 100 wywołań na minutę i 1500 wywołań na godzinę.
Uprawnienia
Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Korzystanie z usługi Microsoft Defender dla interfejsów API punktu końcowego
| Typ uprawnień | Uprawnienie | Nazwa wyświetlana uprawnień |
|---|---|---|
| Aplikacja | File.Read.All | "Odczytywanie profilów plików" |
| Delegowane (konto służbowe) | File.Read.All | "Odczytywanie profilów plików" |
Uwaga
Podczas uzyskiwania tokenu przy użyciu poświadczeń użytkownika:
- Użytkownik musi mieć co najmniej następujące uprawnienia roli: "Wyświetl dane" (zobacz Tworzenie ról i zarządzanie nimi , aby uzyskać więcej informacji)
- Użytkownik musi mieć dostęp do urządzenia skojarzonego z alertem na podstawie ustawień grupy urządzeń (zobacz Tworzenie grup urządzeń i zarządzanie nimi , aby uzyskać więcej informacji)
Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.
Żądanie HTTP
GET /api/alerts/{id}/files
Nagłówki żądań
| Name (Nazwa) | Wpisać | Opis |
|---|---|---|
| Autoryzacja | Ciąg | Element nośny {token}. Wymagane. |
Treść żądania
Pusty
Odpowiedź
Jeśli się powiedzie i istnieją alerty i pliki — 200 OK. Jeśli alert nie został znaleziony — nie znaleziono 404.
Przykład
Przykład żądania
Oto przykład żądania.
GET https://api.securitycenter.microsoft.com/api/alerts/636688558380765161_2136280442/files
Przykład odpowiedzi
Oto przykład odpowiedzi.
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Files",
"value": [
{
"sha1": "f2a00fd2f2de1be0214b8529f1e9f67096c1aa70",
"sha256": "dcd71ef5fff4362a9f64cf3f96f14f2b11d6f428f3badbedcb9ff3361e7079aa",
"md5": "8d5b7cc9a832e21d22503057e1fec8e9",
"globalPrevalence": 29,
"globalFirstObserved": "2019-03-23T23:54:06.0135204Z",
"globalLastObserved": "2019-04-23T00:43:20.0489831Z",
"size": 113984,
"fileType": null,
"isPeFile": true,
"filePublisher": "Microsoft Corporation",
"fileProductName": "Microsoft© Windows© Operating System",
"signer": "Microsoft Corporation",
"issuer": "Microsoft Code Signing PCA",
"signerHash": "9dc17888b5cfad98b3cb35c1994e96227f061675",
"isValidCertificate": true,
"determinationType": "Unknown",
"determinationValue": null
}
...
]
}
Porada
Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.