收集调查包 API
适用于:
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
注意
如果你是美国政府客户,请使用 适用于美国政府客户的 Microsoft Defender for Endpoint 中列出的 URI。
提示
为了提高性能,可以使用离地理位置更近的服务器:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API 说明
从设备收集调查包。
限制
- 此 API 的速率限制是每分钟 100 个调用和每小时 1500 个调用。
重要
- 这些响应操作仅适用于 Windows 10 版本 1703 或更高版本和 Windows 11 上的设备。
权限
要调用此 API,需要以下权限之一。 若要了解详细信息(包括如何选择权限),请参阅 使用 Defender for Endpoint API
| 权限类型 | 权限 | 权限显示名称 |
|---|---|---|
| 应用程序 | Machine.CollectForensics | “收集取证” |
| 委派(工作或学校帐户) | Machine.CollectForensics | “收集取证” |
注意
使用用户凭据获取令牌时:
Defender for Endpoint 计划 1 和计划 2 支持创建设备组。
HTTP 请求
POST https://api.securitycenter.microsoft.com/api/machines/{id}/collectInvestigationPackage
请求标头
| 名称 | 类型 | 说明 |
|---|---|---|
| Authorization | String | 持有者 {token}。 必需。 |
| Content-Type | string | application/json. 必需。 |
请求正文
在请求正文中,提供具有以下参数的 JSON 对象:
| 参数 | 类型 | 说明 |
|---|---|---|
| 评论 | 字符串 | 要与操作关联的注释。 必需。 |
响应
如果成功,此方法在响应正文中返回 201 - 创建的响应代码和 计算机操作 。 如果集合已在运行,则返回 400 错误请求。
示例
请求
下面是一个请求示例。
POST https://api.securitycenter.microsoft.com/api/machines/fb9ab6be3965095a09c057be7c90f0a2/collectInvestigationPackage
{
"Comment": "Collect forensics due to alert 1234"
}
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。