Avansert jakt-API
Gjelder for:
Advarsel
Denne avanserte jakt-API-en er en eldre versjon med begrensede funksjoner. En mer omfattende versjon av API-en for avansert jakt som kan spørre flere tabeller, er allerede tilgjengelig i Microsoft Graph-sikkerhets-API-en. Se Avansert jakt ved hjelp av Microsoft Graph Security API
Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Obs!
Hvis du er us Government-kunde, kan du bruke URI-ene som er oppført i Microsoft Defender for Endpoint for US Government-kunder.
Tips
Hvis du vil ha bedre ytelse, kan du bruke serveren nærmere geografisk plassering:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Begrensninger
Du kan bare kjøre en spørring på data fra de siste 30 dagene.
Resultatene inkluderer maksimalt 100 000 rader.
Antall kjøringer er begrenset per leier:
- API-kall: Opptil 45 anrop per minutt og opptil 1500 anrop per time.
- Utførelsestid: 10 minutter kjøretid hver time og 3 timer kjøretid om dagen.
Maksimal utførelsestid for én enkelt forespørsel er 200 sekunder.
429svar representerer å nå kvotegrensen enten etter antall forespørsler eller av CPU. Les svarteksten for å forstå hvilken grense som ble nådd.Den maksimale spørringsresultatstørrelsen for én enkelt forespørsel kan ikke overskride 124 MB. Hvis den overskrides, har en HTTP 400-ugyldig forespørsel med meldingen «Spørringskjøringen har overskredet den tillatte resultatstørrelsen. Optimaliser spørringen ved å begrense antall resultater, og prøv på nytt» oppstår.
Tillatelser
Én av følgende tillatelser er nødvendig for å kalle opp denne API-en. Hvis du vil ha mer informasjon, inkludert hvordan du velger tillatelser, kan du se Bruke Microsoft Defender for endepunkt-API-er
| Tillatelsestype | Tillatelse | Visningsnavn for tillatelse |
|---|---|---|
| Program | AdvancedQuery.Read.All | Run advanced queries |
| Delegert (jobb- eller skolekonto) | AdvancedQuery.Read | Run advanced queries |
Obs!
Når du skaffer et token ved hjelp av brukerlegitimasjon:
- Brukeren må ha rollen
View Datatilordnet i Microsoft Entra ID - Brukeren må ha tilgang til enheten, basert på enhetsgruppeinnstillinger (Se Opprette og administrere enhetsgrupper for mer informasjon)
Oppretting av enhetsgruppe støttes i Defender for Endpoint Plan 1 og Plan 2.
HTTP-forespørsel
POST https://api.securitycenter.microsoft.com/api/advancedqueries/run
Forespørselshoder
| Topptekst | Verdi |
|---|---|
| Autorisasjon | Bærer {token}. Obligatorisk. |
| Innholdstype | program/json |
Forespørselstekst
Angi et JSON-objekt med følgende parametere i forespørselsteksten:
| Parameter | Type: | Beskrivelse |
|---|---|---|
| Spørsmål | Tekst | Spørringen som skal kjøres. Obligatorisk. |
Svar
Hvis den lykkes, returnerer denne metoden 200 OK, og QueryResponse-objektet i svarteksten.
Eksempel
Eksempel på forespørsel
Her er et eksempel på forespørselen.
POST https://api.securitycenter.microsoft.com/api/advancedqueries/run
{
"Query":"DeviceProcessEvents
|where InitiatingProcessFileName =~ 'powershell.exe'
|where ProcessCommandLine contains 'appdata'
|project Timestamp, FileName, InitiatingProcessFileName, DeviceId
|limit 2"
}
Eksempel på svar
Her er et eksempel på svaret.
Obs!
Svarobjektet som vises her, kan avkortes for kortfattethet. Alle egenskapene returneres fra et faktisk kall.
{
"Schema": [
{
"Name": "Timestamp",
"Type": "DateTime"
},
{
"Name": "FileName",
"Type": "String"
},
{
"Name": "InitiatingProcessFileName",
"Type": "String"
},
{
"Name": "DeviceId",
"Type": "String"
}
],
"Results": [
{
"Timestamp": "2020-02-05T01:10:26.2648757Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe",
"DeviceId": "10cbf9182d4e95660362f65cfa67c7731f62fdb3"
},
{
"Timestamp": "2020-02-05T01:10:26.5614772Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe",
"DeviceId": "10cbf9182d4e95660362f65cfa67c7731f62fdb3"
}
]
}
Relaterte artikler
Tips
Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.