マシン API を分離する
適用対象:
- プラン 1 またはプラン 2 をMicrosoft Defender for Endpointする
- Microsoft Defender XDR
- Microsoft Defender for Business
注:
米国政府機関のお客様の場合は、米国政府機関のお客様のMicrosoft Defender for Endpointに記載されている URI を使用してください。
ヒント
パフォーマンスを向上させるために、地理的な場所に近いサーバーを使用できます。
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API の説明
デバイスが外部ネットワークにアクセスできないようにします。
制限事項
- この API のレート制限は、1 分あたり 100 呼び出しと 1 時間あたり 1,500 呼び出しです。
注:
このページでは、API を使用したマシン アクションの実行に焦点を当てます。 Microsoft Defender for Endpointを使用した応答アクション機能の詳細については、「マシンで応答アクションを実行する」を参照してください。
重要
- 完全な分離は、Windows 10、バージョン 1703、およびWindows 11のデバイスで使用できます。
- サポートされているすべての Linux デバイスで完全な分離を使用できます。 Linux でのMicrosoft Defender for Endpointに関するページを参照してください。
- 選択的分離は、Windows 10、バージョン 1709 以降、およびWindows 11上のデバイスで使用できます。
- デバイスを分離する場合は、特定のプロセスと宛先のみが許可されます。 そのため、完全な VPN トンネルの背後にあるデバイスは、デバイスが分離された後、Microsoft Defender for Endpoint クラウド サービスに到達できません。 Microsoft Defender for EndpointとMicrosoft Defenderウイルス対策クラウドベースの保護関連トラフィックには、スプリット トンネリング VPN を使用することをお勧めします。
- アンマネージド デバイスでこの API を呼び出すと、 ネットワーク アクションから包含デバイスが トリガーされます。 IsolationType 値を 'UnManagedDevice' に設定する必要があります。
アクセス許可
この API を呼び出すには、次のいずれかのアクセス許可が必要です。 アクセス許可の選択方法など、詳細については、「Microsoft Defender for Endpoint API を使用する」を参照してください。
| アクセス許可の種類 | アクセス許可 | アクセス許可の表示名 |
|---|---|---|
| アプリケーション | Machine.Isolate | 'マシンの分離' |
| 委任 (職場または学校のアカウント) | Machine.Isolate | 'マシンの分離' |
注:
ユーザー資格情報を使用してトークンを取得する場合:
- ユーザーには、少なくとも "アクティブな修復アクション" というロールアクセス許可が必要です。 詳細については、「 ロールの作成と管理」を参照してください。
- ユーザーは、デバイス グループの設定に基づいて、デバイスにアクセスできる必要があります。 詳細については、「 デバイス グループの作成と管理 」を参照してください。
デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。
HTTP 要求
POST https://api.securitycenter.microsoft.com/api/machines/{id}/isolate
要求ヘッダー
| 名前 | 型 | 説明 |
|---|---|---|
| Authorization | String | ベアラー {token}。 必須。 |
| Content-Type | string | application/json. 必須。 |
要求本文
要求本文で、JSON オブジェクトに次のパラメーターを指定します。
| パラメーター | 型 | 説明 |
|---|---|---|
| コメント | 文字列 | アクションに関連付けるコメント。 必須。 |
| IsolationType | String | 分離の種類。 使用できる値は、 Full、 Selective、 UnManagedDevice です。 |
IsolationType は、実行する分離の種類を制御し、次のいずれかになります。
- 完全: 完全な分離。 マネージド デバイスに対して機能します。
- 選択的: マネージド デバイス上のネットワークへのアクセスを制限するアプリケーションのセットのみを制限します。 詳細については、「 ネットワークからデバイスを分離する」を参照してください。
- UnManagedDevice: 分離は、非管理対象デバイスのみを対象としています。
応答
成功した場合、このメソッドは応答本文で 201 - 作成された応答コードと Machine Action を 返します。
例
要求
要求の例を次に示します。
POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/isolate
{
"Comment": "Isolate machine due to alert 1234",
"IsolationType": "Full"
}
- 分離からデバイスを解放するには、「分離 からデバイスを解放する」を参照してください。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。