Condividi tramite

List Investigations API

  • Articolo

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Nota

Se si è un cliente del governo degli Stati Uniti, usare gli URI elencati in Microsoft Defender per endpoint per i clienti del governo degli Stati Uniti.

Consiglio

Per ottenere prestazioni migliori, è possibile usare il server più vicino alla posizione geografica:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Descrizione DELL'API

Recupera una raccolta di investigations.

Supporta le query OData V4.

La query di $filter OData è supportata nelle startTimeproprietà , id, state, machineIde triggeringAlertId .
$stop con un valore massimo di 10.000
$skip

Vedere gli esempi nelle query OData con Microsoft Defender per endpoint

Limitazioni

  1. La dimensione massima della pagina è 10.000.
  2. Le limitazioni di frequenza per questa API sono 100 chiamate al minuto e 1.500 chiamate all'ora.

Autorizzazioni

Per chiamare questa API è necessaria una delle autorizzazioni seguenti. Per altre informazioni, incluso come scegliere le autorizzazioni, vedere Usare le API di Microsoft Defender per endpoint.

Tipo di autorizzazione Autorizzazione Nome visualizzato autorizzazioni
Applicazione Alert.Read.All Read all alerts
Applicazione Alert.ReadWrite.All Read and write all alerts
Delegato (account aziendale o dell'istituto di istruzione) Alert.Read Read alerts
Delegato (account aziendale o dell'istituto di istruzione) Alert.ReadWrite Read and write alerts

Nota

Quando si ottiene un token usando le credenziali utente:

  • L'utente deve disporre almeno dell'autorizzazione del ruolo seguente: View Data. Per altre informazioni, vedere Creare e gestire ruoli .

Richiesta HTTP

GET https://api.securitycenter.microsoft.com/api/investigations

Intestazioni di richiesta

Nome Tipo Descrizione
Autorizzazione Stringa Bearer {token}. Obbligatorio.

Corpo della richiesta

Vuoto

Risposta

In caso di esito positivo, questo metodo restituisce 200 codice di risposta Ok con una raccolta di entità Investigations .

Esempio

Esempio di richiesta

Ecco un esempio di una richiesta per ottenere tutte le indagini:

GET https://api.securitycenter.microsoft.com/api/investigations

Esempio di risposta

Ecco un esempio della risposta:

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Investigations",
    "value": [
        {
            "id": "63017",
            "startTime": "2020-01-06T14:11:34Z",
            "endTime": null,
            "state": "Running",
            "cancelledBy": null,
            "statusDetails": null,
            "machineId": "a69a22debe5f274d8765ea3c368d00762e057b30",
            "computerDnsName": "desktop-gtrcon0",
            "triggeringAlertId": "da637139166940871892_-598649278"
        }
        ...
    ]
}

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.