Sicherheit: runHuntingQuery
Namespace: microsoft.graph.security
Fragt einen angegebenen Satz von Ereignis-, Aktivitäts- oder Entitätsdaten ab, die von Microsoft 365 Defender unterstützt werden, um proaktiv nach bestimmten Bedrohungen in Ihrer Umgebung zu suchen.
Dies ist die Methode für die erweiterte Suche in Microsoft 365 Defender. Diese Methode enthält eine Abfrage in Kusto-Abfragesprache (KQL). Sie gibt eine Datentabelle im schema der erweiterten Suche und eine Sequenz von Operatoren zum Filtern oder Durchsuchen dieser Daten sowie zum Formatieren der Abfrageausgabe auf bestimmte Weise an.
Erfahren Sie mehr über die Suche nach Bedrohungen auf Geräten, E-Mails, Apps und Identitäten. Erfahren Sie mehr über KQL.
Informationen zur Verwendung der erweiterten Suche im Microsoft 365 Defender-Portal finden Sie unter Proaktives Suchen nach Bedrohungen mit erweiterter Suche in Microsoft 365 Defender.
Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.
Globaler Dienst | US Government L4 | US Government L5 (DOD) | China, betrieben von 21Vianet |
---|---|---|---|
✅ | ✅ | ✅ | ❌ |
Berechtigungen
Wählen Sie für diese API die Als am wenigsten privilegierten Berechtigungen gekennzeichneten Berechtigungen aus. Verwenden Sie nur dann eine Berechtigung mit höheren Berechtigungen , wenn dies für Ihre App erforderlich ist. Ausführliche Informationen zu delegierten Berechtigungen und Anwendungsberechtigungen finden Sie unter Berechtigungstypen. Weitere Informationen zu diesen Berechtigungen finden Sie in der Berechtigungsreferenz.
Berechtigungstyp | Berechtigungen mit den geringsten Berechtigungen | Berechtigungen mit höheren Berechtigungen |
---|---|---|
Delegiert (Geschäfts-, Schul- oder Unikonto) | ThreatHunting.Read.All | Nicht verfügbar. |
Delegiert (persönliches Microsoft-Konto) | Nicht unterstützt | Nicht unterstützt |
Anwendung | ThreatHunting.Read.All | Nicht verfügbar. |
HTTP-Anforderung
POST /security/runHuntingQuery
Anforderungsheader
Name | Beschreibung |
---|---|
Authorization | Bearer {token}. Erforderlich. Erfahren Sie mehr über die Authentifizierung und Autorisierung. |
Content-Type | application/json. Erforderlich. |
Hinweis
Wenn Sie in Ihrer Abfrage Nicht-ANSI-Zeichen verwenden, z. B. zum Abfragen von E-Mail-Betreffs mit falsch formatierten oder aussehenden Zeichen, verwenden Sie application/json; charset=utf-8
für den Content-Type-Header.
Anforderungstext
Geben Sie im Anforderungstext ein JSON-Objekt für den Parameter an. Query
Parameter | Typ | Beschreibung |
---|---|---|
Abfrage | String | Die Huntingabfrage in Kusto-Abfragesprache (KQL). Weitere Informationen zur KQL-Syntax finden Sie unter KQL-Kurzübersicht. |
Antwort
Wenn die Aktion erfolgreich verläuft, werden der 200 OK
Antwortcode und huntingQueryResults im Antworttext zurückgegeben.
Beispiele
Anforderung
In diesem Beispiel wird eine KQL-Abfrage angegeben, die Folgendes ausführt:
- Untersucht die Tabelle DeviceProcessEvents im schema der erweiterten Suche.
- Filtert nach der Bedingung, dass das Ereignis vom powershell.exe-Prozess initiiert wird.
- Gibt die Ausgabe von 3 Spalten aus derselben Tabelle für jede Zeile an:
Timestamp
,FileName
,InitiatingProcessFileName
. - Sortiert die Ausgabe nach dem
Timestamp
Wert. - Beschränkt die Ausgabe auf 2 Datensätze (2 Zeilen).
POST https://graph.microsoft.com/v1.0/security/runHuntingQuery
{
"Query": "DeviceProcessEvents | where InitiatingProcessFileName =~ \"powershell.exe\" | project Timestamp, FileName, InitiatingProcessFileName | order by Timestamp desc | limit 2"
}
Antwort
Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.
HTTP/1.1 200 OK
Content-type: application/json
{
"schema": [
{
"Name": "Timestamp",
"Type": "DateTime"
},
{
"Name": "FileName",
"Type": "String"
},
{
"Name": "InitiatingProcessFileName",
"Type": "String"
}
],
"results": [
{
"Timestamp": "2020-08-30T06:38:35.7664356Z",
"FileName": "conhost.exe",
"InitiatingProcessFileName": "powershell.exe"
},
{
"Timestamp": "2020-08-30T06:38:30.5163363Z",
"FileName": "conhost.exe",
"InitiatingProcessFileName": "powershell.exe"
}
]
}
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für