Isolere maskin-API
Gjelder for:
- Microsoft Defender for endepunkt Plan 1 eller Plan 2
- Microsoft Defender XDR
- Microsoft Defender for Business
Obs!
Hvis du er us Government-kunde, kan du bruke URI-ene som er oppført i Microsoft Defender for endepunkt for US Government-kunder.
Tips
Hvis du vil ha bedre ytelse, kan du bruke serveren nærmere geografisk plassering:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
API-beskrivelse
Isolerer en enhet fra tilgang til eksternt nettverk.
Begrensninger
- Satsbegrensninger for denne API-en er 100 oppkall per minutt og 1500 anrop per time.
Obs!
Denne siden fokuserer på å utføre en maskinhandling via API. Se utføre responshandlinger på en maskin for mer informasjon om responshandlingsfunksjonalitet via Microsoft Defender for endepunkt.
Viktig
- Full isolering er tilgjengelig for enheter på Windows 10, versjon 1703 og på Windows 11.
- Full isolering er tilgjengelig for alle støttede Linux-enheter. Se Microsoft Defender for endepunkt på Linux.
- Selektiv isolering er tilgjengelig for enheter på Windows 10, versjon 1709 eller nyere og på Windows 11.
- Når du isolerer en enhet, er det bare tillatt med bestemte prosesser og mål. Derfor vil ikke enheter som er bak en full VPN-tunnel kunne nå Microsoft Defender for endepunkt skytjeneste etter at enheten er isolert. Vi anbefaler at du bruker et VPN for delt tunnelering for Microsoft Defender for endepunkt og Microsoft Defender antivirusskybasert beskyttelsesrelatert trafikk.
- Oppkalling av denne API-en på uadministrerte enheter utløser inneholderenheten fra nettverkshandlingen . IsolationType-verdien må settes til UnManagedDevice.
Tillatelser
Én av følgende tillatelser er nødvendig for å kalle opp denne API-en. Hvis du vil ha mer informasjon, inkludert hvordan du velger tillatelser, kan du se Bruke Microsoft Defender for endepunkt API-er
| Tillatelsestype | Tillatelse | Visningsnavn for tillatelse |
|---|---|---|
| Program | Machine.Isolate | 'Isolere maskin' |
| Delegert (jobb- eller skolekonto) | Machine.Isolate | 'Isolere maskin' |
Obs!
Når du skaffer et token ved hjelp av brukerlegitimasjon:
- Brukeren må minst ha følgende rolletillatelse: Aktive utbedringshandlinger. Hvis du vil ha mer informasjon, kan du se Opprette og administrere roller.
- Brukeren må ha tilgang til enheten, basert på innstillingene for enhetsgruppen. Se Opprette og administrere enhetsgrupper for mer informasjon.
Oppretting av enhetsgruppe støttes i Defender for Endpoint Plan 1 og Plan 2.
HTTP-forespørsel
POST https://api.securitycenter.microsoft.com/api/machines/{id}/isolate
Forespørselshoder
| Navn | Type: | Beskrivelse |
|---|---|---|
| Autorisasjon | Streng | Bærer {token}. Obligatorisk. |
| Innholdstype | streng | program/json. Obligatorisk. |
Forespørselstekst
Angi et JSON-objekt med følgende parametere i forespørselsteksten:
| Parameter | Type: | Beskrivelse |
|---|---|---|
| Kommentar | Streng | Kommentar som skal knyttes til handlingen. Obligatorisk. |
| Isolasjonstype | Streng | Type isolering. Tillatte verdier er: Full, Selektiv eller UnManagedDevice. |
IsolationType kontrollerer isoleringstypen som skal utføres, og kan være ett av følgende:
- Full: Full isolasjon. Fungerer for administrerte enheter.
- Selektiv: Begrens bare begrensede sett med programmer fra å få tilgang til nettverket på administrerte enheter. Hvis du vil ha mer informasjon, kan du se Isolere enheter fra nettverket.
- UnManagedDevice: Isolasjonen retter seg bare mot uadministrerte enheter.
Svar
Hvis dette lykkes, returnerer denne metoden 201 – opprettet svarkode og maskinhandling i svarteksten.
Eksempel
Anmodning
Her er et eksempel på forespørselen.
POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/isolate
{
"Comment": "Isolate machine due to alert 1234",
"IsolationType": "Full"
}
- Hvis du vil frigi en enhet fra isolering, kan du se Frigi enhet fra isolering.
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.