Avancerad jakt-API
Gäller för:
Varning
Det här avancerade jakt-API:et är en äldre version med begränsade funktioner. En mer omfattande version av det avancerade jakt-API:et som kan köra frågor mot fler tabeller finns redan i Microsoft Graph-säkerhets-API:et. Se Avancerad jakt med Microsoft Graph-säkerhets-API
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Anteckning
Om du är en us government-kund använder du de URI:er som anges i Microsoft Defender för Endpoint för amerikanska myndighetskunder.
Tips
För bättre prestanda kan du använda servern närmare din geoplats:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Du kan bara köra en fråga på data från de senaste 30 dagarna.
Resultatet innehåller högst 100 000 rader.
Antalet körningar är begränsat per klientorganisation:
- API-anrop: Upp till 45 anrop per minut och upp till 1 500 anrop per timme.
- Körningstid: 10 minuters körningstid varje timme och 3 timmars körningstid per dag.
Den maximala körningstiden för en enskild begäran är 200 sekunder.
429
svaret representerar att nå kvotgränsen, antingen efter antal begäranden eller efter CPU. Läs svarstexten för att förstå vilken gräns som har uppnåtts.Den maximala frågeresultatstorleken för en enskild begäran får inte överstiga 124 MB. Om den överskrids har en HTTP 400 Felaktig begäran med meddelandet "Frågekörningen har överskridit den tillåtna resultatstorleken. Optimera frågan genom att begränsa antalet resultat och försök igen" inträffar.
En av följande behörigheter krävs för att anropa det här API:et. Mer information, inklusive hur du väljer behörigheter, finns i Använda Api:er för Microsoft Defender för Endpoint
Behörighetstyp | Behörighet | Visningsnamn för behörighet |
---|---|---|
Program | AdvancedQuery.Read.All | Run advanced queries |
Delegerat (arbets- eller skolkonto) | AdvancedQuery.Read | Run advanced queries |
Anteckning
När du hämtar en token med användarautentiseringsuppgifter:
- Användaren måste ha rollen
View Data
tilldelad i Microsoft Entra-ID - Användaren måste ha åtkomst till enheten baserat på enhetsgruppsinställningarna (mer information finns i Skapa och hantera enhetsgrupper )
Skapande av enhetsgrupp stöds i Defender för Endpoint Plan 1 och Plan 2.
POST https://api.securitycenter.microsoft.com/api/advancedqueries/run
Rubrik | Värde |
---|---|
Tillstånd | Ägaren {token}. Krävs. |
Content-Type | application/json |
I begärandetexten anger du ett JSON-objekt med följande parametrar:
Parameter | Typ | Beskrivning |
---|---|---|
Fråga | Text | Frågan som ska köras. Krävs. |
Om det lyckas returnerar den här metoden 200 OK och QueryResponse-objektet i svarstexten.
Här är ett exempel på begäran.
POST https://api.securitycenter.microsoft.com/api/advancedqueries/run
{
"Query":"DeviceProcessEvents
|where InitiatingProcessFileName =~ 'powershell.exe'
|where ProcessCommandLine contains 'appdata'
|project Timestamp, FileName, InitiatingProcessFileName, DeviceId
|limit 2"
}
Här är ett exempel på svaret.
Anteckning
Svarsobjektet som visas här kan trunkeras för korthet. Alla egenskaper returneras från ett faktiskt anrop.
{
"Schema": [
{
"Name": "Timestamp",
"Type": "DateTime"
},
{
"Name": "FileName",
"Type": "String"
},
{
"Name": "InitiatingProcessFileName",
"Type": "String"
},
{
"Name": "DeviceId",
"Type": "String"
}
],
"Results": [
{
"Timestamp": "2020-02-05T01:10:26.2648757Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe",
"DeviceId": "10cbf9182d4e95660362f65cfa67c7731f62fdb3"
},
{
"Timestamp": "2020-02-05T01:10:26.5614772Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe",
"DeviceId": "10cbf9182d4e95660362f65cfa67c7731f62fdb3"
}
]
}
Använda Säkerhets-API:et för Microsoft Graph – Microsoft Graph | Microsoft Learn
Introduktion till API:er för Microsoft Defender för Endpoint
Tips
Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.