Ograniczanie interfejsu API wykonywania aplikacji
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Uwaga
Jeśli jesteś klientem rządowym USA, użyj identyfikatorów URI wymienionych w usłudze Microsoft Defender for Endpoint dla klientów rządowych USA.
Porada
Aby uzyskać lepszą wydajność, możesz użyć serwera bliżej lokalizacji geograficznej:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Opis interfejsu API
Ogranicz wykonywanie wszystkich aplikacji na urządzeniu z wyjątkiem wstępnie zdefiniowanego zestawu.
Ograniczenia
- Ograniczenia szybkości dla tego interfejsu API to 100 wywołań na minutę i 1500 wywołań na godzinę.
Uwaga
Ta strona koncentruje się na wykonywaniu akcji maszyny za pośrednictwem interfejsu API. Aby uzyskać więcej informacji na temat funkcji akcji reagowania za pośrednictwem usługi Microsoft Defender for Endpoint, zobacz akcje reagowania na maszynie .
Ważna
- Ta akcja jest dostępna dla urządzeń z systemem Windows 10 w wersji 1709 lub nowszej oraz w systemie Windows 11.
- Ta funkcja jest dostępna, jeśli Organizacja używa programu antywirusowego Microsoft Defender.
- Ta akcja musi spełniać wymagania dotyczące zasad integralności kodu i podpisywania w usłudze Windows Defender Application Control. Aby uzyskać więcej informacji, zobacz Formaty zasad integralności kodu i podpisywanie.
Uprawnienia
Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Korzystanie z usługi Microsoft Defender dla interfejsów API punktu końcowego
Typ uprawnień | Uprawnienie | Nazwa wyświetlana uprawnień |
---|---|---|
Aplikacja | Machine.RestrictExecution | "Ograniczanie wykonywania kodu" |
Delegowane (konto służbowe) | Machine.RestrictExecution | "Ograniczanie wykonywania kodu" |
Uwaga
Podczas uzyskiwania tokenu przy użyciu poświadczeń użytkownika:
- Użytkownik musi mieć co najmniej następujące uprawnienia roli: "Aktywne akcje korygowania" (zobacz Tworzenie ról i zarządzanie nimi , aby uzyskać więcej informacji)
- Użytkownik musi mieć dostęp do urządzenia na podstawie ustawień grupy urządzeń (zobacz Tworzenie grup urządzeń i zarządzanie nimi , aby uzyskać więcej informacji)
Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.
Żądanie HTTP
POST https://api.securitycenter.microsoft.com/api/machines/{id}/restrictCodeExecution
Nagłówki żądań
Name (Nazwa) | Wpisać | Opis |
---|---|---|
Autoryzacja | Ciąg | Element nośny {token}. Wymagane. |
Typ zawartości | ciąg | application/json. Wymagane. |
Treść żądania
W treści żądania podaj obiekt JSON z następującymi parametrami:
Parametr | Wpisać | Opis |
---|---|---|
Komentowanie | Ciąg | Komentarz do skojarzenia z akcją. Wymagane. |
Odpowiedź
Jeśli to się powiedzie, ta metoda zwraca kod 201 — utworzony kod odpowiedzi i akcję maszyny w treści odpowiedzi.
Jeśli wysyłasz wiele wywołań interfejsu API w celu ograniczenia wykonywania aplikacji dla tego samego urządzenia, zwraca ono "oczekującą akcję maszyny" lub HTTP 400 z komunikatem "Akcja jest już w toku".
Przykład
Prosić
Oto przykład żądania.
POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/restrictCodeExecution
{
"Comment": "Restrict code execution due to alert 1234"
}
- Aby usunąć ograniczenie wykonywania kodu z urządzenia, zobacz Usuwanie ograniczeń aplikacji.
Porada
Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.