Microsoft Defender XDR Gelişmiş avcılık API'si
Şunlar için geçerlidir:
- Microsoft Defender XDR
Uyarı
Bu gelişmiş avcılık API'si sınırlı özelliklere sahip eski bir sürümdür. Gelişmiş tehdit avcılığı API'sinin daha kapsamlı bir sürümü Microsoft Graph güvenlik API'sinde zaten mevcuttur. Bkz . Microsoft Graph güvenlik API'sini kullanarak gelişmiş avcılık
Önemli
Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanmış ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Gelişmiş avcılık, Microsoft Defender XDR'da son 30 günlük olay verilerini incelemek için özel olarak oluşturulan sorguları kullanan bir tehdit avcılığı aracıdır. Olağan dışı etkinlikleri incelemek, olası tehditleri algılamak ve hatta saldırılara yanıt vermek için gelişmiş avcılık sorgularını kullanabilirsiniz. Gelişmiş tehdit avcılığı API'si, olay verilerini program aracılığıyla sorgulamanıza olanak tanır.
Kotalar ve kaynak ayırma
Aşağıdaki koşullar tüm sorgular ile ilgilidir.
- Sorgular son 30 güne ait verileri inceler ve döndürür.
- Sonuçlar en fazla 100.000 satır döndürebilir.
- Kiracı başına dakikada en az 45 çağrı yapabilirsiniz. Çağrı sayısı, kiracı başına boyutuna göre değişir.
- Her kiracıya, kiracı boyutuna göre CPU kaynakları ayrılır. Kiracı, sonraki 15 dakikalık döngüye kadar ayrılan kaynakların %100'lerine ulaşmışsa sorgular engellenir. Aşırı tüketim nedeniyle engellenen sorgulardan kaçınmak için , CPU kotalarına ulaşılmasını önlemek için Sorgularınızı iyileştirme makalesindeki yönergeleri izleyin.
- Tek bir istek üç dakikadan uzun süre çalıştırılırsa zaman aşımına uğradıktan sonra bir hata döndürür.
429
HTTP yanıt kodu, gönderilen istek sayısına veya ayrılan çalışma süresine göre ayrılmış CPU kaynaklarına ulaştığınızı gösterir. Ulaştığınız sınırı anlamak için yanıt gövdesini okuyun.
İzinler
Gelişmiş tehdit avcılığı API'sini çağırmak için aşağıdaki izinlerden biri gereklidir. İzinlerin nasıl seçileceği de dahil olmak üzere daha fazla bilgi için bkz. Microsoft Defender XDR Koruması API'lerine erişme.
İzin türü | İzin | İzin görünen adı |
---|---|---|
Uygulama | AdvancedHunting.Read.All | Gelişmiş sorgular çalıştırma |
Temsilci (iş veya okul hesabı) | AdvancedHunting.Read | Gelişmiş sorgular çalıştırma |
Not
Kullanıcı kimlik bilgilerini kullanarak belirteç alırken:
- Kullanıcının 'Verileri Görüntüle' rolüne sahip olması gerekir.
- Kullanıcının cihaz grubu ayarlarına göre cihaza erişimi olmalıdır.
HTTP isteği
POST https://api.security.microsoft.com/api/advancedhunting/run
İstek üst bilgileri
Üstbilgi | Değer |
---|---|
Yetkilendirme | Taşıyıcı {token} Not: gerekli |
İçerik Türü | application/json |
İstek gövdesi
İstek gövdesinde aşağıdaki parametreleri içeren bir JSON nesnesi sağlayın:
Parametre | Tür | Açıklama |
---|---|---|
Sorgu | Metin | Çalıştırılacak sorgu. (gerekli) |
Yanıt
Başarılı olursa, bu yöntem yanıt gövdesinde ve bir QueryResponse nesnesi döndürür200 OK
.
Yanıt nesnesi üç üst düzey özellik içerir:
- İstatistikler - Sorgu performansı istatistikleri sözlüğü.
- Schema - Yanıtın şeması, her sütun için Name-Type çiftlerinin listesi.
- Sonuçlar - Gelişmiş tehdit avcılığı olaylarının listesi.
Örnek
Aşağıdaki örnekte, kullanıcı aşağıdaki sorguyu gönderir ve , Schema
ve Results
içeren Stats
bir API yanıt nesnesi alır.
Sorgu
{
"Query":"DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2"
}
Yanıt nesnesi
{
"Stats": {
"ExecutionTime": 4.621215,
"resource_usage": {
"cache": {
"memory": {
"hits": 773461,
"misses": 4481,
"total": 777942
},
"disk": {
"hits": 994,
"misses": 197,
"total": 1191
}
},
"cpu": {
"user": "00:00:19.0468750",
"kernel": "00:00:00.0156250",
"total cpu": "00:00:19.0625000"
},
"memory": {
"peak_per_node": 236822432
}
},
"dataset_statistics": [
{
"table_row_count": 2,
"table_size": 102
}
]
},
"Schema": [
{
"Name": "Timestamp",
"Type": "DateTime"
},
{
"Name": "FileName",
"Type": "String"
},
{
"Name": "InitiatingProcessFileName",
"Type": "String"
}
],
"Results": [
{
"Timestamp": "2020-08-30T06:38:35.7664356Z",
"FileName": "conhost.exe",
"InitiatingProcessFileName": "powershell.exe"
},
{
"Timestamp": "2020-08-30T06:38:30.5163363Z",
"FileName": "conhost.exe",
"InitiatingProcessFileName": "powershell.exe"
}
]
}
İlgili makaleler
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin