Aracılığıyla paylaş


Gelişmiş avcılık API'si

Şunlar için geçerlidir:

Uyarı

Bu gelişmiş avcılık API'si sınırlı özelliklere sahip eski bir sürümdür. Microsoft Graph güvenlik API'sinde daha fazla tablo sorgulayan gelişmiş tehdit avcılığı API'sinin daha kapsamlı bir sürümü zaten mevcuttur. Bkz . Microsoft Graph güvenlik API'sini kullanarak gelişmiş avcılık

Uç Nokta için Microsoft Defender'ı deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Not

ABD Kamu müşterisiyseniz lütfen US Government müşterileri için Uç Nokta için Microsoft Defender'da listelenen URI'leri kullanın.

İpucu

Daha iyi performans için coğrafi konumunuza daha yakın olan sunucuyu kullanabilirsiniz:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Sınırlamalar

  1. Sorguyu yalnızca son 30 güne ait veriler üzerinde çalıştırabilirsiniz.

  2. Sonuçlar en fazla 100.000 satır içerir.

  3. Yürütme sayısı kiracı başına sınırlıdır:

    • API çağrıları: Dakikada en fazla 45 çağrı ve saatte en fazla 1.500 çağrı.
    • Yürütme süresi: Saatte 10 dakika çalışma süresi ve günde 3 saatlik çalışma süresi.
  4. Tek bir isteğin en yüksek yürütme süresi 200 saniyedir.

  5. 429 yanıt, istek sayısına veya CPU'ya göre kota sınırına ulaşmayı temsil eder. Hangi sınıra ulaşıldığını anlamak için yanıt gövdesini okuyun.

  6. Tek bir isteğin sorgu sonucu boyutu üst sınırı 124 MB'ı aşamaz. Aşılırsa, "Sorgu yürütme izin verilen sonuç boyutunu aştı. Sonuç sayısını sınırlayarak sorgunuzu iyileştirin ve yeniden deneyin" ifadesi gerçekleşir.

İzinler

Bu API'yi çağırmak için aşağıdaki izinlerden biri gereklidir. İzinlerin nasıl seçileceği de dahil olmak üzere daha fazla bilgi edinmek için bkz . Uç Nokta API'leri için Microsoft Defender'ı kullanma

İzin türü İzin İzin görünen adı
Uygulama AdvancedQuery.Read.All Run advanced queries
Temsilci (iş veya okul hesabı) AdvancedQuery.Read Run advanced queries

Not

Kullanıcı kimlik bilgilerini kullanarak belirteç alırken:

  • Kullanıcının rolü Microsoft Entra Id'de atanmış olması View Data gerekir
  • Kullanıcının cihaz grubu ayarlarına bağlı olarak cihaza erişimi olmalıdır (Daha fazla bilgi için bkz . Cihaz grupları oluşturma ve yönetme )

Cihaz grubu oluşturma, Uç Nokta Için Defender Plan 1 ve Plan 2'de desteklenir.

HTTP isteği

POST https://api.securitycenter.microsoft.com/api/advancedqueries/run

İstek üst bilgileri

Üstbilgi Değer
İzin Taşıyıcı {token}. Gerekli.
İçerik Türü application/json

İstek gövdesi

İstek gövdesinde aşağıdaki parametreleri içeren bir JSON nesnesi sağlayın:

Parametre Tür Açıklama
Sorgu Metin Çalıştırılacak sorgu. Gerekli.

Yanıt

Başarılı olursa, bu yöntem yanıt gövdesinde 200 Tamam ve QueryResponse nesnesi döndürür.

Örnek

İstek örneği

burada isteğin bir örneği verilmiş.

POST https://api.securitycenter.microsoft.com/api/advancedqueries/run
{
    "Query":"DeviceProcessEvents
|where InitiatingProcessFileName =~ 'powershell.exe'
|where ProcessCommandLine contains 'appdata'
|project Timestamp, FileName, InitiatingProcessFileName, DeviceId
|limit 2"
}

Yanıt örneği

Yanıtın bir örneğini aşağıda bulabilirsiniz.

Not

Burada gösterilen yanıt nesnesi kısa bir süre için kesilebilir. Tüm özellikler gerçek bir çağrıdan döndürülür.

{
    "Schema": [
        {
            "Name": "Timestamp",
            "Type": "DateTime"
        },
        {
            "Name": "FileName",
            "Type": "String"
        },
        {
            "Name": "InitiatingProcessFileName",
            "Type": "String"
        },
        {
            "Name": "DeviceId",
            "Type": "String"
        }
    ],
    "Results": [
        {
            "Timestamp": "2020-02-05T01:10:26.2648757Z",
            "FileName": "csc.exe",
            "InitiatingProcessFileName": "powershell.exe",
            "DeviceId": "10cbf9182d4e95660362f65cfa67c7731f62fdb3"
        },
        {
            "Timestamp": "2020-02-05T01:10:26.5614772Z",
            "FileName": "csc.exe",
            "InitiatingProcessFileName": "powershell.exe",
            "DeviceId": "10cbf9182d4e95660362f65cfa67c7731f62fdb3"
        }
    ]
}

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.