API för insamling av undersökningspaket

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Anteckning

Om du är myndighetskund i USA kan du använda de URI:er som visas i Microsoft Defender för Slutpunkt för kunder inom myndigheter i USA.

Tips

För bättre prestanda kan du använda servern närmare din geografiska plats:

  • api-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.com

API-beskrivning

Samla in undersökningspaket från en enhet.

Begränsningar

  1. Prisbegränsningar för detta API är 100 samtal per minut och 1 500 samtal per timme.

Viktigt

  • De här svarsåtgärderna är endast tillgängliga för enheter Windows 10, version 1703 eller senare och på Windows 11.

Behörigheter

En av följande behörigheter krävs för att anropa detta API. Mer information, inklusive hur du väljer behörigheter, finns i Använda Defender för slutpunkts-API:er

Behörighetstyp Behörighet Visningsnamn för behörighet
Program Machine.CollectForensics "Samla in en forensiska"
Delegerat (arbets- eller skolkonto) Machine.CollectForensics "Samla in en forensiska"

Anteckning

När du skaffar en token med hjälp av användarautentiseringsuppgifter:

  • Användaren måste ha minst följande rollbehörighet: "Undersökning av aviseringar" (mer information finns i Skapa och hantera roller)
  • Användaren måste ha åtkomst till enheten baserat på enhetsgruppinställningar (mer information finns i Skapa och hantera enhetsgrupper)

HTTP-begäran

POST https://api.securitycenter.microsoft.com/api/machines/{id}/collectInvestigationPackage

Frågerubriker

Namn Typ Beskrivning
Auktorisering Sträng Bearer {token}. Obligatoriskt.
Content-Type sträng application/json. Obligatoriskt.

Frågebrödtext

Ange följande parametrar för ett JSON-objekt i begärans brödtext:

Parameter Typ Beskrivning
Kommentar Sträng Kommentar som ska associeras med åtgärden. Obligatoriskt.

Svar

Om det lyckas returnerar den här metoden 201 – Skapad svarskod och Maskinåtgärd i svarstexten. Om en samling redan körs returnerar detta 400 Felaktig begäran.

Exempel

Begäran

Här är ett exempel på begäran.

POST https://api.securitycenter.microsoft.com/api/machines/fb9ab6be3965095a09c057be7c90f0a2/collectInvestigationPackage
{
  "Comment": "Collect forensics due to alert 1234"
}