Microsoft Defender XDR API til avanceret jagt

Gælder for:

• Microsoft Defender XDR

Advarsel

Denne avancerede jagt-API er en ældre version med begrænsede funktioner. Der findes allerede en mere omfattende version af den avancerede jagt-API i Microsoft Graph-sikkerheds-API'en. Se Avanceret jagt ved hjælp af Microsoft Graph Security API

Vigtigt!

Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.

Avanceret jagt er et værktøj til trusselsjagt, der bruger særligt konstruerede forespørgsler til at undersøge de seneste 30 dages hændelsesdata i Microsoft Defender XDR. Du kan bruge avancerede jagtforespørgsler til at inspicere usædvanlig aktivitet, registrere mulige trusler og endda reagere på angreb. Den avancerede jagt-API giver dig mulighed for programmeringsmæssigt at forespørge om hændelsesdata.

Kvoter og ressourceallokering

Følgende betingelser er relateret til alle forespørgsler.

1. Forespørgsler udforsker og returnerer data fra de seneste 30 dage.
2. Resultaterne kan returnere op til 100.000 rækker.
3. Du kan foretage mindst 45 opkald pr. minut pr. lejer. Antallet af kald varierer afhængigt af lejerens størrelse.
4. Hver lejer tildeles CPU-ressourcer baseret på lejerstørrelsen. Forespørgsler blokeres, hvis lejeren har nået 100 % af de tildelte ressourcer indtil efter den næste 15-minutters cyklus. Hvis du vil undgå blokerede forespørgsler på grund af overskydende forbrug, skal du følge vejledningen i Optimer dine forespørgsler for at undgå at ramme CPU-kvoter.
5. Hvis en enkelt anmodning kører i mere end tre minutter, opstår der timeout, og der returneres en fejl.
6. En 429 HTTP-svarkode angiver, at du har nået de tildelte CPU-ressourcer, enten efter antal sendte anmodninger eller af den tildelte kørselstid. Læs svarteksten for at forstå den grænse, du har nået.

Tilladelser

En af følgende tilladelser er påkrævet for at kalde API'en for avanceret jagt. Hvis du vil vide mere, herunder hvordan du vælger tilladelser, skal du se Få adgang til API'erne til Microsoft Defender XDR Protection.

Tilladelsestype	Tilladelse	Vist navn for tilladelse
Program	AdvancedHunting.Read.All	Kør avancerede forespørgsler
Uddelegeret (arbejds- eller skolekonto)	AdvancedHunting.Read	Kør avancerede forespørgsler

Bemærk!

Når du henter et token ved hjælp af brugerlegitimationsoplysninger:

• Brugeren skal have rollen 'Vis data'.
• Brugeren skal have adgang til enheden baseret på indstillingerne for enhedsgruppe.

HTTP-anmodning

POST https://api.security.microsoft.com/api/advancedhunting/run

Anmodningsheadere

Sidehoved	Værdi
Tilladelse	Ihændehaver {token} Bemærk! påkrævet
Indholdstype	program/json

Brødtekst i anmodning

Angiv følgende parametre for et JSON-objekt i anmodningens brødtekst:

Parameter	Type	Beskrivelse
Forespørgsel	Tekst	Den forespørgsel, der skal køres. (påkrævet)

Svar

Hvis det lykkes, returnerer 200 OKdenne metode og et QueryResponse-objekt i svarbrødteksten.

Svarobjektet indeholder tre egenskaber på øverste niveau:

1. Statistik – en ordbog over statistik for forespørgselsydeevne.
2. Schema – Skemaet for svaret, en liste over Name-Type par for hver kolonne.
3. Results – En liste over avancerede jagtbegivenheder.

Eksempel

I følgende eksempel sender en bruger forespørgslen nedenfor og modtager et API-svarobjekt, der indeholder Stats, Schemaog Results.

Forespørgsel

{
    "Query":"DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2"
}

Svarobjekt

{
    "Stats": {
        "ExecutionTime": 4.621215,
        "resource_usage": {
            "cache": {
                "memory": {
                    "hits": 773461,
                    "misses": 4481,
                    "total": 777942
                },
                "disk": {
                    "hits": 994,
                    "misses": 197,
                    "total": 1191
                }
            },
            "cpu": {
                "user": "00:00:19.0468750",
                "kernel": "00:00:00.0156250",
                "total cpu": "00:00:19.0625000"
            },
            "memory": {
                "peak_per_node": 236822432
            }
        },
        "dataset_statistics": [
            {
                "table_row_count": 2,
                "table_size": 102
            }
        ]
    },
    "Schema": [
        {
            "Name": "Timestamp",
            "Type": "DateTime"
        },
        {
            "Name": "FileName",
            "Type": "String"
        },
        {
            "Name": "InitiatingProcessFileName",
            "Type": "String"
        }
    ],
    "Results": [
        {
            "Timestamp": "2020-08-30T06:38:35.7664356Z",
            "FileName": "conhost.exe",
            "InitiatingProcessFileName": "powershell.exe"
        },
        {
            "Timestamp": "2020-08-30T06:38:30.5163363Z",
            "FileName": "conhost.exe",
            "InitiatingProcessFileName": "powershell.exe"
        }
    ]
}

Relaterede artikler

• Brug Microsoft Graph-sikkerheds-API'en – Microsoft Graph | Microsoft Learn

• Få adgang til de Microsoft Defender XDR API'er

• Få mere at vide om API-grænser og -licenser

• Forstå fejlkoder

• Oversigt over avanceret jagt

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.