Avviare l'API di analisi
Si applica a:
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Nota
Se si è un cliente del governo degli Stati Uniti, usare gli URI elencati in Microsoft Defender per endpoint per i clienti del governo degli Stati Uniti.
Consiglio
Per ottenere prestazioni migliori, è possibile usare il server più vicino alla posizione geografica:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Descrizione DELL'API
Avviare un'indagine automatizzata in un dispositivo.
Per altre informazioni, vedere Panoramica delle indagini automatizzate .
Limitazioni
- Le limitazioni di frequenza per questa API sono di 50 chiamate all'ora.
Requisiti per AIR
L'organizzazione deve avere Defender per endpoint (vedere Requisiti minimi per Microsoft Defender per endpoint.
Attualmente AIR supporta solo le versioni del sistema operativo seguenti:
- Windows Server 2019
- Windows Server 2022
- Windows 10, versione 1709 (build del sistema operativo 16299.1085 con KB4493441) o versione successiva
- Windows 10, versione 1803 (build del sistema operativo 17134.704 con KB4493464) o versione successiva
- Windows 10, versione 1803 o successiva
- Windows 11
Autorizzazioni
Per chiamare questa API è necessaria una delle autorizzazioni seguenti. Per altre informazioni, incluso come scegliere le autorizzazioni, vedere Usare le API di Microsoft Defender per endpoint
| Tipo di autorizzazione | Autorizzazione | Nome visualizzato autorizzazioni |
|---|---|---|
| Applicazione | Alert.ReadWrite.All | 'Leggere e scrivere tutti gli avvisi' |
| Delegato (account aziendale o dell'istituto di istruzione) | Alert.ReadWrite | 'Avvisi di lettura e scrittura' |
Nota
Quando si ottiene un token usando le credenziali utente:
- L'utente deve disporre almeno dell'autorizzazione del ruolo seguente: "Azioni di correzione attive" (per altre informazioni, vedere Creare e gestire ruoli )
- L'utente deve avere accesso al dispositivo in base alle impostazioni del gruppo di dispositivi (vedere Creare e gestire gruppi di dispositivi per altre informazioni)
La creazione di gruppi di dispositivi è supportata in Defender per endpoint Piano 1 e Piano 2.
Richiesta HTTP
POST https://api.security.microsoft.com/api/machines/{id}/startInvestigation
Intestazioni di richiesta
| Nome | Tipo | Descrizione |
|---|---|---|
| Autorizzazione | Stringa | Bearer {token}. Obbligatorio. |
| Content-Type | stringa | application/json. Obbligatorio. |
Corpo della richiesta
Nel corpo della richiesta specificare un oggetto JSON con i parametri seguenti:
| Parametro | Tipo | Descrizione |
|---|---|---|
| Comment | Stringa | Commento da associare all'azione. Obbligatorio. |
Risposta
In caso di esito positivo, questo metodo restituisce il codice di risposta 201 - Creato e l'indagine nel corpo della risposta.
Esempio
Richiesta
Di seguito è riportato un esempio della richiesta.
POST https://api.security.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/startInvestigation
{
"Comment": "Test investigation"
}
Consiglio
Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.