Udostępnij za pośrednictwem

Uzyskiwanie interfejsu API informacji o plikach powiązanych z alertami

  • Artykuł

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto bezpłatnej wersji próbnej.

Uwaga

Jeśli jesteś klientem rządowym USA, użyj identyfikatorów URI wymienionych w Ochrona punktu końcowego w usłudze Microsoft Defender dla klientów rządowych USA.

Porada

Aby uzyskać lepszą wydajność, możesz użyć serwera bliżej lokalizacji geograficznej:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Opis interfejsu API

Pobiera wszystkie pliki związane z określonym alertem.

Ograniczenia

  1. Możesz wykonywać zapytania dotyczące alertów ostatnio aktualizowanych zgodnie ze skonfigurowanym okresem przechowywania.
  2. Ograniczenia szybkości dla tego interfejsu API to 100 wywołań na minutę i 1500 wywołań na godzinę.

Uprawnienia

Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Korzystanie z interfejsów API Ochrona punktu końcowego w usłudze Microsoft Defender

Typ uprawnień Uprawnienie Nazwa wyświetlana uprawnień
Aplikacja File.Read.All "Odczytywanie profilów plików"
Delegowane (konto służbowe) File.Read.All "Odczytywanie profilów plików"

Uwaga

Podczas uzyskiwania tokenu przy użyciu poświadczeń użytkownika:

  • Użytkownik musi mieć co najmniej następujące uprawnienia roli: "Wyświetl dane" (zobacz Twórca i zarządzanie rolami, aby uzyskać więcej informacji)
  • Użytkownik musi mieć dostęp do urządzenia skojarzonego z alertem na podstawie ustawień grupy urządzeń (zobacz Twórca i zarządzanie grupami urządzeń, aby uzyskać więcej informacji)

Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.

Żądanie HTTP

GET /api/alerts/{id}/files

Nagłówki żądań

Name (Nazwa) Wpisać Opis
Autoryzacji Ciąg Element nośny {token}. Wymagane.

Treść żądania

Pusty

Odpowiedzi

Jeśli się powiedzie i istnieją alerty i pliki — 200 OK. Jeśli alert nie został znaleziony — nie znaleziono 404.

Przykład

Przykład żądania

Oto przykład żądania.

GET https://api.securitycenter.microsoft.com/api/alerts/636688558380765161_2136280442/files

Przykład odpowiedzi

Oto przykład odpowiedzi.

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Files",
    "value": [
        {
            "sha1": "f2a00fd2f2de1be0214b8529f1e9f67096c1aa70",
            "sha256": "dcd71ef5fff4362a9f64cf3f96f14f2b11d6f428f3badbedcb9ff3361e7079aa",
            "md5": "8d5b7cc9a832e21d22503057e1fec8e9",
            "globalPrevalence": 29,
            "globalFirstObserved": "2019-03-23T23:54:06.0135204Z",
            "globalLastObserved": "2019-04-23T00:43:20.0489831Z",
            "size": 113984,
            "fileType": null,
            "isPeFile": true,
            "filePublisher": "Microsoft Corporation",
            "fileProductName": "Microsoft© Windows© Operating System",
            "signer": "Microsoft Corporation",
            "issuer": "Microsoft Code Signing PCA",
            "signerHash": "9dc17888b5cfad98b3cb35c1994e96227f061675",
            "isValidCertificate": true,
            "determinationType": "Unknown",
            "determinationValue": null
        }
        ...
    ]
}

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.