調査パッケージ API を収集する

適用対象:

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

注:

米国政府機関のお客様は、 Microsoft Defender for Endpoint for US Government のお客様に記載されている URI を使用してください。

ヒント

パフォーマンスを向上させるために、地理的な場所に近いサーバーを使用できます。

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

API の説明

デバイスから調査パッケージを収集します。

制限事項

  1. この API のレート制限は、1 分あたり 100 呼び出しと 1 時間あたり 1500 呼び出しです。

重要

  • これらの応答アクションは、Windows 10、バージョン 1703 以降、および Windows 11 のデバイスでのみ使用できます。

アクセス許可

この API を呼び出すには、次のいずれかのアクセス許可が必要です。 アクセス許可の選択方法など、詳細については、「Defender for Endpoint API を使用する」を参照してください。

アクセス許可の種類 アクセス許可 アクセス許可の表示名
アプリケーション Machine.CollectForensics 'フォレンジックの収集'
委任 (職場または学校のアカウント) Machine.CollectForensics 'フォレンジックの収集'

注:

ユーザー資格情報を使用してトークンを取得する場合:

  • ユーザーには、少なくとも "アラート調査" というロールアクセス許可が必要です (詳細については、「 ロールの作成と管理 」を参照してください)
  • ユーザーは、デバイス グループの設定に基づいてデバイスにアクセスできる必要があります (詳細については、「 デバイス グループの作成と管理 」を参照してください)

デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。

HTTP 要求

POST https://api.securitycenter.microsoft.com/api/machines/{id}/collectInvestigationPackage

要求ヘッダー

名前 説明
Authorization String ベアラー {token}。 必須
Content-Type string application/json. 必須

要求本文

要求本文で、JSON オブジェクトに次のパラメーターを指定します。

パラメーター 説明
コメント 文字列 アクションに関連付けるコメント。 必須

応答

成功した場合、このメソッドは応答本文で 201 - 作成された応答コードと Machine Action を 返します。 コレクションが既に実行されている場合は、400 の無効な要求が返されます。

要求

以下は、要求の例です。

POST https://api.securitycenter.microsoft.com/api/machines/fb9ab6be3965095a09c057be7c90f0a2/collectInvestigationPackage
{
  "Comment": "Collect forensics due to alert 1234"
}

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。