收集调查包 API
适用于:
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
注意
如果你是美国政府客户,请使用美国政府客户Microsoft Defender for Endpoint中列出的 URI。
提示
为了提高性能,可以使用离地理位置更近的服务器:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
API 说明
从设备收集调查包。
限制
- 此 API 的速率限制是每分钟 100 个调用和每小时 1500 个调用。
重要
- 这些响应操作仅适用于 Windows 10 版本 1703 或更高版本以及Windows 11上的设备。
权限
要调用此 API,需要以下权限之一。 若要了解详细信息(包括如何选择权限),请参阅 使用 Defender for Endpoint API
| 权限类型 | 权限 | 权限显示名称 |
|---|---|---|
| 应用程序 | Machine.CollectForensics | “收集取证” |
| 委派(工作或学校帐户) | Machine.CollectForensics | “收集取证” |
注意
使用用户凭据获取令牌时:
- 用户至少需要具有以下角色权限:“警报调查” (有关详细信息,请参阅Create和管理角色)
- 用户需要根据设备组设置 (请参阅Create和管理设备组,了解详细信息)
Defender for Endpoint 计划 1 和计划 2 支持创建设备组。
HTTP 请求
POST https://api.securitycenter.microsoft.com/api/machines/{id}/collectInvestigationPackage
请求标头
| 名称 | 类型 | 说明 |
|---|---|---|
| Authorization | String | 持有者 {token}。 必需。 |
| Content-Type | string | application/json. 必需。 |
请求正文
在请求正文中,提供具有以下参数的 JSON 对象:
| 参数 | 类型 | 说明 |
|---|---|---|
| 评论 | 字符串 | 要与操作关联的注释。 必需。 |
响应
如果成功,此方法在响应正文中返回 201 - 创建的响应代码和 计算机操作 。 如果集合已在运行,则返回 400 错误请求。
示例
请求
下面是一个请求示例。
POST https://api.securitycenter.microsoft.com/api/machines/fb9ab6be3965095a09c057be7c90f0a2/collectInvestigationPackage
{
"Comment": "Collect forensics due to alert 1234"
}
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈