Ograniczanie interfejsu API wykonywania aplikacji

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender
• Microsoft Defender XDR

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Uwaga

Jeśli jesteś klientem rządowym USA, użyj identyfikatorów URI wymienionych w Ochrona punktu końcowego w usłudze Microsoft Defender dla klientów rządowych USA.

Porada

Aby uzyskać lepszą wydajność, możesz użyć serwera bliżej lokalizacji geograficznej:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com

Opis interfejsu API

Ogranicz wykonywanie wszystkich aplikacji na urządzeniu z wyjątkiem wstępnie zdefiniowanego zestawu.

Ograniczenia

1. Ograniczenia szybkości dla tego interfejsu API to 100 wywołań na minutę i 1500 wywołań na godzinę.

Uwaga

Ta strona koncentruje się na wykonywaniu akcji maszyny za pośrednictwem interfejsu API. Aby uzyskać więcej informacji na temat funkcji akcji reagowania za pośrednictwem Ochrona punktu końcowego w usłudze Microsoft Defender, zobacz akcje reagowania na maszynie.

Ważna

• Ta akcja jest dostępna dla urządzeń w Windows 10 w wersji 1709 lub nowszej oraz na Windows 11.
• Ta funkcja jest dostępna, jeśli organizacja używa programu antywirusowego Microsoft Defender.
• Ta akcja musi spełniać Windows Defender formaty zasad integralności kodu kontroli aplikacji i wymagania dotyczące podpisywania. Aby uzyskać więcej informacji, zobacz Formaty zasad integralności kodu i podpisywanie.

Uprawnienia

Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Korzystanie z interfejsów API Ochrona punktu końcowego w usłudze Microsoft Defender

Typ uprawnień	Uprawnienie	Nazwa wyświetlana uprawnień
Aplikacja	Machine.RestrictExecution	"Ograniczanie wykonywania kodu"
Delegowane (konto służbowe)	Machine.RestrictExecution	"Ograniczanie wykonywania kodu"

Uwaga

Podczas uzyskiwania tokenu przy użyciu poświadczeń użytkownika:

• Użytkownik musi mieć co najmniej następujące uprawnienia roli: "Aktywne akcje korygowania" (zobacz Twórca i zarządzanie rolami, aby uzyskać więcej informacji)
• Użytkownik musi mieć dostęp do urządzenia na podstawie ustawień grupy urządzeń (zobacz Twórca i zarządzanie grupami urządzeń, aby uzyskać więcej informacji)

Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.

Żądanie HTTP

POST https://api.securitycenter.microsoft.com/api/machines/{id}/restrictCodeExecution

Nagłówki żądań

Name (Nazwa)	Wpisać	Opis
Autoryzacji	Ciąg	Element nośny {token}. Wymagane.
Typ zawartości	Ciąg	application/json. Wymagane.

Treść żądania

W treści żądania podaj obiekt JSON z następującymi parametrami:

Parametr	Wpisać	Opis
Komentowanie	Ciąg	Komentarz do skojarzenia z akcją. Wymagane.

Odpowiedzi

Jeśli to się powiedzie, ta metoda zwraca kod 201 — utworzony kod odpowiedzi i akcję maszyny w treści odpowiedzi.

Jeśli wysyłasz wiele wywołań interfejsu API w celu ograniczenia wykonywania aplikacji dla tego samego urządzenia, zwraca ono "oczekującą akcję maszyny" lub HTTP 400 z komunikatem "Akcja jest już w toku".

Przykład

Żądanie

Oto przykład żądania.

POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/restrictCodeExecution 

{
  "Comment": "Restrict code execution due to alert 1234"
}

• Aby usunąć ograniczenie wykonywania kodu z urządzenia, zobacz Usuwanie ograniczeń aplikacji.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.