Gelişmiş avcılık API'si
Şunlar için geçerlidir:
Uyarı
Bu gelişmiş avcılık API'si sınırlı özelliklere sahip eski bir sürümdür. Microsoft Graph güvenlik API'sinde daha fazla tablo sorgulayan gelişmiş tehdit avcılığı API'sinin daha kapsamlı bir sürümü zaten mevcuttur. Bkz . Microsoft Graph güvenlik API'sini kullanarak gelişmiş avcılık
Uç Nokta için Microsoft Defender'ı deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Not
ABD Kamu müşterisiyseniz lütfen US Government müşterileri için Uç Nokta için Microsoft Defender'da listelenen URI'leri kullanın.
İpucu
Daha iyi performans için coğrafi konumunuza daha yakın olan sunucuyu kullanabilirsiniz:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Sınırlamalar
Sorguyu yalnızca son 30 güne ait veriler üzerinde çalıştırabilirsiniz.
Sonuçlar en fazla 100.000 satır içerir.
Yürütme sayısı kiracı başına sınırlıdır:
- API çağrıları: Dakikada en fazla 45 çağrı ve saatte en fazla 1.500 çağrı.
- Yürütme süresi: Saatte 10 dakika çalışma süresi ve günde 3 saatlik çalışma süresi.
Tek bir isteğin en yüksek yürütme süresi 200 saniyedir.
429yanıt, istek sayısına veya CPU'ya göre kota sınırına ulaşmayı temsil eder. Hangi sınıra ulaşıldığını anlamak için yanıt gövdesini okuyun.Tek bir isteğin sorgu sonucu boyutu üst sınırı 124 MB'ı aşamaz. Aşılırsa, "Sorgu yürütme izin verilen sonuç boyutunu aştı. Sonuç sayısını sınırlayarak sorgunuzu iyileştirin ve yeniden deneyin" ifadesi gerçekleşir.
İzinler
Bu API'yi çağırmak için aşağıdaki izinlerden biri gereklidir. İzinlerin nasıl seçileceği de dahil olmak üzere daha fazla bilgi edinmek için bkz . Uç Nokta API'leri için Microsoft Defender'ı kullanma
| İzin türü | İzin | İzin görünen adı |
|---|---|---|
| Uygulama | AdvancedQuery.Read.All | Run advanced queries |
| Temsilci (iş veya okul hesabı) | AdvancedQuery.Read | Run advanced queries |
Not
Kullanıcı kimlik bilgilerini kullanarak belirteç alırken:
- Kullanıcının rolü Microsoft Entra Id'de atanmış olması
View Datagerekir - Kullanıcının cihaz grubu ayarlarına bağlı olarak cihaza erişimi olmalıdır (Daha fazla bilgi için bkz . Cihaz grupları oluşturma ve yönetme )
Cihaz grubu oluşturma, Uç Nokta Için Defender Plan 1 ve Plan 2'de desteklenir.
HTTP isteği
POST https://api.securitycenter.microsoft.com/api/advancedqueries/run
İstek üst bilgileri
| Üstbilgi | Değer |
|---|---|
| İzin | Taşıyıcı {token}. Gerekli. |
| İçerik Türü | application/json |
İstek gövdesi
İstek gövdesinde aşağıdaki parametreleri içeren bir JSON nesnesi sağlayın:
| Parametre | Tür | Açıklama |
|---|---|---|
| Sorgu | Metin | Çalıştırılacak sorgu. Gerekli. |
Yanıt
Başarılı olursa, bu yöntem yanıt gövdesinde 200 Tamam ve QueryResponse nesnesi döndürür.
Örnek
İstek örneği
burada isteğin bir örneği verilmiş.
POST https://api.securitycenter.microsoft.com/api/advancedqueries/run
{
"Query":"DeviceProcessEvents
|where InitiatingProcessFileName =~ 'powershell.exe'
|where ProcessCommandLine contains 'appdata'
|project Timestamp, FileName, InitiatingProcessFileName, DeviceId
|limit 2"
}
Yanıt örneği
Yanıtın bir örneğini aşağıda bulabilirsiniz.
Not
Burada gösterilen yanıt nesnesi kısa bir süre için kesilebilir. Tüm özellikler gerçek bir çağrıdan döndürülür.
{
"Schema": [
{
"Name": "Timestamp",
"Type": "DateTime"
},
{
"Name": "FileName",
"Type": "String"
},
{
"Name": "InitiatingProcessFileName",
"Type": "String"
},
{
"Name": "DeviceId",
"Type": "String"
}
],
"Results": [
{
"Timestamp": "2020-02-05T01:10:26.2648757Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe",
"DeviceId": "10cbf9182d4e95660362f65cfa67c7731f62fdb3"
},
{
"Timestamp": "2020-02-05T01:10:26.5614772Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe",
"DeviceId": "10cbf9182d4e95660362f65cfa67c7731f62fdb3"
}
]
}
İlgili makaleler
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.