Izolowanie interfejsu API maszyny

  • Artykuł

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Uwaga

Jeśli jesteś klientem rządowym USA, użyj identyfikatorów URI wymienionych w Ochrona punktu końcowego w usłudze Microsoft Defender dla klientów rządowych USA.

Porada

Aby uzyskać lepszą wydajność, możesz użyć serwera bliżej lokalizacji geograficznej:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Opis interfejsu API

Izoluje urządzenie od uzyskiwania dostępu do sieci zewnętrznej.

Ograniczenia

  1. Ograniczenia szybkości dla tego interfejsu API to 100 wywołań na minutę i 1500 wywołań na godzinę.

Uwaga

Ta strona koncentruje się na wykonywaniu akcji maszyny za pośrednictwem interfejsu API. Aby uzyskać więcej informacji na temat funkcji akcji reagowania za pośrednictwem Ochrona punktu końcowego w usłudze Microsoft Defender, zobacz akcje reagowania na maszynie.

Ważna

  • Pełna izolacja jest dostępna dla urządzeń w Windows 10, wersji 1703 i na Windows 11.
  • Pełna izolacja jest dostępna w publicznej wersji zapoznawczej dla wszystkich obsługiwanych Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux wymienionych w temacie Wymagania systemowe.
  • Izolacja selektywna jest dostępna dla urządzeń w Windows 10, wersji 1709 lub nowszej oraz na Windows 11.
  • Podczas izolowania urządzenia dozwolone są tylko niektóre procesy i miejsca docelowe. W związku z tym urządzenia, które znajdują się za pełnym tunelem SIECI VPN, nie będą mogły uzyskać dostępu do Ochrona punktu końcowego w usłudze Microsoft Defender usługi w chmurze po odizolowaniu urządzenia. Zalecamy używanie sieci VPN tunelowania podzielonego na potrzeby ruchu związanego z ochroną opartą na chmurze Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender antywirusowego.

Uprawnienia

Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Korzystanie z interfejsów API Ochrona punktu końcowego w usłudze Microsoft Defender

Typ uprawnień Uprawnienie Nazwa wyświetlana uprawnień
Aplikacja Machine.Isolate "Izolowanie maszyny"
Delegowane (konto służbowe) Machine.Isolate "Izolowanie maszyny"

Uwaga

Podczas uzyskiwania tokenu przy użyciu poświadczeń użytkownika:

Tworzenie grupy urządzeń jest obsługiwane w usłudze Defender for Endpoint Plan 1 i Plan 2.

Żądanie HTTP

POST https://api.securitycenter.microsoft.com/api/machines/{id}/isolate

Nagłówki żądań

Name (Nazwa) Wpisać Opis
Autoryzacji Ciąg Element nośny {token}. Wymagane.
Typ zawartości Ciąg application/json. Wymagane.

Treść żądania

W treści żądania podaj obiekt JSON z następującymi parametrami:

Parametr Wpisać Opis
Komentowanie Ciąg Komentarz do skojarzenia z akcją. Wymagane.
Typ izolacji Ciąg Typ izolacji. Dozwolone wartości to: "Full" lub "Selective".

IsolationType steruje typem izolacji do wykonania i może być jednym z następujących:

  • Pełna: Pełna izolacja
  • Selektywne: ograniczanie dostępu do sieci tylko ograniczonym zestawom aplikacji (zobacz Izolowanie urządzeń od sieci, aby uzyskać więcej szczegółów)

Odpowiedzi

Jeśli to się powiedzie, ta metoda zwraca kod 201 — utworzony kod odpowiedzi i akcję maszyny w treści odpowiedzi.

Przykład

Żądanie

Oto przykład żądania.

POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/isolate

{
  "Comment": "Isolate machine due to alert 1234",
  "IsolationType": "Full" 
}

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.