Zbieranie interfejsu API pakietu badania
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Uwaga
Jeśli jesteś klientem rządowym USA, użyj identyfikatorów URI wymienionych w Ochrona punktu końcowego w usłudze Microsoft Defender dla klientów rządowych USA.
Porada
Aby uzyskać lepszą wydajność, możesz użyć serwera bliżej lokalizacji geograficznej:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Opis interfejsu API
Zbieranie pakietu badania z urządzenia.
Ograniczenia
- Ograniczenia szybkości dla tego interfejsu API to 100 wywołań na minutę i 1500 wywołań na godzinę.
Ważna
- Te akcje odpowiedzi są dostępne tylko dla urządzeń w Windows 10, wersji 1703 lub nowszej oraz w Windows 11.
Uprawnienia
Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Korzystanie z usługi Defender dla interfejsów API punktu końcowego
| Typ uprawnień | Uprawnienie | Nazwa wyświetlana uprawnień |
|---|---|---|
| Aplikacja | Machine.CollectForensics | "Zbieranie kryminalistyki" |
| Delegowane (konto służbowe) | Machine.CollectForensics | "Zbieranie kryminalistyki" |
Uwaga
Podczas uzyskiwania tokenu przy użyciu poświadczeń użytkownika:
- Użytkownik musi mieć co najmniej następujące uprawnienia roli: "Badanie alertów" (zobacz Tworzenie ról i zarządzanie nimi , aby uzyskać więcej informacji)
- Użytkownik musi mieć dostęp do urządzenia na podstawie ustawień grupy urządzeń (zobacz Tworzenie grup urządzeń i zarządzanie nimi , aby uzyskać więcej informacji)
Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.
Żądanie HTTP
POST https://api.securitycenter.microsoft.com/api/machines/{id}/collectInvestigationPackage
Nagłówki żądań
| Name (Nazwa) | Wpisać | Opis |
|---|---|---|
| Autoryzacja | Ciąg | Element nośny {token}. Wymagane. |
| Typ zawartości | ciąg | application/json. Wymagane. |
Treść żądania
W treści żądania podaj obiekt JSON z następującymi parametrami:
| Parametr | Wpisać | Opis |
|---|---|---|
| Komentowanie | Ciąg | Komentarz do skojarzenia z akcją. Wymagane. |
Odpowiedź
Jeśli to się powiedzie, ta metoda zwraca kod 201 — utworzony kod odpowiedzi i akcję maszyny w treści odpowiedzi. Jeśli kolekcja jest już uruchomiona, zwraca to 400 nieprawidłowych żądań.
Przykład
Prosić
Oto przykład żądania.
POST https://api.securitycenter.microsoft.com/api/machines/fb9ab6be3965095a09c057be7c90f0a2/collectInvestigationPackage
{
"Comment": "Collect forensics due to alert 1234"
}
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.