Share via

API de archivo de detención y cuarentena

  • Artículo

Se aplica a:

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Nota:

Si es cliente del Gobierno de EE. UU., use los URI que aparecen en Microsoft Defender para punto de conexión para los clientes del Gobierno de EE. UU.

Sugerencia

Para mejorar el rendimiento, puede usar el servidor más cercano a la ubicación geográfica:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Descripción de la API

Detenga la ejecución de un archivo en un dispositivo y elimínelo.

Limitaciones

  1. Las limitaciones de velocidad de esta API son 100 llamadas por minuto y 1500 llamadas por hora.

Nota:

Esta página se centra en realizar una acción de máquina a través de la API. Consulte Realizar acciones de respuesta en una máquina para obtener más información sobre la funcionalidad de las acciones de respuesta a través de Microsoft Defender para punto de conexión.

Importante

Solo puede realizar esta acción si:

  • El dispositivo en el que va a realizar la acción ejecuta Windows 10, versión 1703 o posterior, o Windows 11
  • El archivo no pertenece a editores de terceros de confianza o no está firmado por Microsoft
  • Microsoft Defender Antivirus debe ejecutarse al menos en modo pasivo. Para obtener más información, consulte compatibilidad con Microsoft Defender Antivirus.

Permisos

Se requiere uno de los siguientes permisos para llamar a esta API. Para más información, incluido cómo elegir permisos, consulte Uso de api de Microsoft Defender para punto de conexión

Tipo de permiso Permiso Nombre para mostrar del permiso
Aplicación Machine.StopAndQuarantine "Detener y poner en cuarentena"
Aplicación Machine.Read.All "Leer todos los perfiles de máquina"
Aplicación Machine.ReadWrite.All "Leer y escribir toda la información de la máquina"
Delegado (cuenta profesional o educativa) Machine.StopAndQuarantine "Detener y poner en cuarentena"

Nota:

Al obtener un token con credenciales de usuario:

  • El usuario debe tener al menos el siguiente permiso de rol: "Acciones de corrección activas" (vea Create y administrar roles para obtener más información).
  • El usuario debe tener acceso al dispositivo en función de la configuración del grupo de dispositivos (consulte Create y administrar grupos de dispositivos para obtener más información).

La creación de grupos de dispositivos se admite en El plan 1 y el plan 2 de Defender para punto de conexión.

Solicitud HTTP

POST https://api.securitycenter.microsoft.com/api/machines/{id}/StopAndQuarantineFile

Encabezados de solicitud

Nombre Tipo Descripción
Authorization Cadena {token} de portador. Necesario.
Content-Type string application/json. Necesario.

Cuerpo de la solicitud

En el cuerpo de la solicitud, proporcione un objeto JSON con los parámetros siguientes:

Parámetro Tipo Descripción
Comentario Cadena Comentario que se va a asociar a la acción. Necesario.
Sha1 Cadena Sha1 del archivo que se va a detener y poner en cuarentena en el dispositivo. Necesario.

Respuesta

Si se ejecuta correctamente, este método devuelve 201: código de respuesta creado y Acción de máquina en el cuerpo de la respuesta.

Ejemplo

Solicitud

Aquí tiene un ejemplo de la solicitud.

POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/StopAndQuarantineFile 

{
  "Comment": "Stop and quarantine file on machine due to alert 441688558380765161_2136280442",
  "Sha1": "87662bc3d60e4200ceaf7aae249d1c343f4b83c9"
}

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.