Microsoft Defender XDR Gelişmiş avcılık API'si

Şunlar için geçerlidir:

• Microsoft Defender XDR

Uyarı

Bu gelişmiş avcılık API'si sınırlı özelliklere sahip eski bir sürümdür. Gelişmiş tehdit avcılığı API'sinin daha kapsamlı bir sürümü Microsoft Graph güvenlik API'sinde zaten mevcuttur. Bkz . Microsoft Graph güvenlik API'sini kullanarak gelişmiş avcılık

Önemli

Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanmış ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Gelişmiş avcılık, Microsoft Defender XDR'da son 30 günlük olay verilerini incelemek için özel olarak oluşturulan sorguları kullanan bir tehdit avcılığı aracıdır. Olağan dışı etkinlikleri incelemek, olası tehditleri algılamak ve hatta saldırılara yanıt vermek için gelişmiş avcılık sorgularını kullanabilirsiniz. Gelişmiş tehdit avcılığı API'si, olay verilerini program aracılığıyla sorgulamanıza olanak tanır.

Kotalar ve kaynak ayırma

Aşağıdaki koşullar tüm sorgular ile ilgilidir.

1. Sorgular son 30 güne ait verileri inceler ve döndürür.
2. Sonuçlar en fazla 100.000 satır döndürebilir.
3. Kiracı başına dakikada en az 45 çağrı yapabilirsiniz. Çağrı sayısı, kiracı başına boyutuna göre değişir.
4. Her kiracıya, kiracı boyutuna göre CPU kaynakları ayrılır. Kiracı, sonraki 15 dakikalık döngüye kadar ayrılan kaynakların %100'lerine ulaşmışsa sorgular engellenir. Aşırı tüketim nedeniyle engellenen sorgulardan kaçınmak için , CPU kotalarına ulaşılmasını önlemek için Sorgularınızı iyileştirme makalesindeki yönergeleri izleyin.
5. Tek bir istek üç dakikadan uzun süre çalıştırılırsa zaman aşımına uğradıktan sonra bir hata döndürür.
6. 429 HTTP yanıt kodu, gönderilen istek sayısına veya ayrılan çalışma süresine göre ayrılmış CPU kaynaklarına ulaştığınızı gösterir. Ulaştığınız sınırı anlamak için yanıt gövdesini okuyun.

İzinler

Gelişmiş tehdit avcılığı API'sini çağırmak için aşağıdaki izinlerden biri gereklidir. İzinlerin nasıl seçileceği de dahil olmak üzere daha fazla bilgi için bkz. Microsoft Defender XDR Koruması API'lerine erişme.

İzin türü	İzin	İzin görünen adı
Uygulama	AdvancedHunting.Read.All	Gelişmiş sorgular çalıştırma
Temsilci (iş veya okul hesabı)	AdvancedHunting.Read	Gelişmiş sorgular çalıştırma

Not

Kullanıcı kimlik bilgilerini kullanarak belirteç alırken:

• Kullanıcının 'Verileri Görüntüle' rolüne sahip olması gerekir.
• Kullanıcının cihaz grubu ayarlarına göre cihaza erişimi olmalıdır.

HTTP isteği

POST https://api.security.microsoft.com/api/advancedhunting/run

İstek üst bilgileri

Üstbilgi	Değer
Yetkilendirme	Taşıyıcı {token} Not: gerekli
İçerik Türü	application/json

İstek gövdesi

İstek gövdesinde aşağıdaki parametreleri içeren bir JSON nesnesi sağlayın:

Parametre	Tür	Açıklama
Sorgu	Metin	Çalıştırılacak sorgu. (gerekli)

Yanıt

Başarılı olursa, bu yöntem yanıt gövdesinde ve bir QueryResponse nesnesi döndürür200 OK.

Yanıt nesnesi üç üst düzey özellik içerir:

1. İstatistikler - Sorgu performansı istatistikleri sözlüğü.
2. Schema - Yanıtın şeması, her sütun için Name-Type çiftlerinin listesi.
3. Sonuçlar - Gelişmiş tehdit avcılığı olaylarının listesi.

Örnek

Aşağıdaki örnekte, kullanıcı aşağıdaki sorguyu gönderir ve , Schemave Resultsiçeren Statsbir API yanıt nesnesi alır.

Sorgu

{
    "Query":"DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2"
}

Yanıt nesnesi

{
    "Stats": {
        "ExecutionTime": 4.621215,
        "resource_usage": {
            "cache": {
                "memory": {
                    "hits": 773461,
                    "misses": 4481,
                    "total": 777942
                },
                "disk": {
                    "hits": 994,
                    "misses": 197,
                    "total": 1191
                }
            },
            "cpu": {
                "user": "00:00:19.0468750",
                "kernel": "00:00:00.0156250",
                "total cpu": "00:00:19.0625000"
            },
            "memory": {
                "peak_per_node": 236822432
            }
        },
        "dataset_statistics": [
            {
                "table_row_count": 2,
                "table_size": 102
            }
        ]
    },
    "Schema": [
        {
            "Name": "Timestamp",
            "Type": "DateTime"
        },
        {
            "Name": "FileName",
            "Type": "String"
        },
        {
            "Name": "InitiatingProcessFileName",
            "Type": "String"
        }
    ],
    "Results": [
        {
            "Timestamp": "2020-08-30T06:38:35.7664356Z",
            "FileName": "conhost.exe",
            "InitiatingProcessFileName": "powershell.exe"
        },
        {
            "Timestamp": "2020-08-30T06:38:30.5163363Z",
            "FileName": "conhost.exe",
            "InitiatingProcessFileName": "powershell.exe"
        }
    ]
}

İlgili makaleler

• Microsoft Graph güvenlik API'sini kullanma - Microsoft Graph | Microsoft Learn

• Microsoft Defender XDR API'lerine erişme

• API sınırları ve lisanslama hakkında bilgi edinin

• Hata kodlarını anlama

• Gelişmiş avcılığa genel bakış

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.