API:t för att stoppa och sätta i karantän

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Anteckning

Om du är myndighetskund i USA kan du använda de URI:er som visas i Microsoft Defender för Slutpunkt för kunder inom myndigheter i USA.

Tips

För bättre prestanda kan du använda servern närmare din geografiska plats:

  • api-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.com

API-beskrivning

Sluta utföra en fil på en enhet och ta bort den.

Begränsningar

  1. Prisbegränsningar för detta API är 100 samtal per minut och 1 500 samtal per timme.

Anteckning

Den här sidan fokuserar på att utföra maskinåtgärder via API. Mer information om funktionen för svarsåtgärder via Microsoft Defender för Slutpunkt finns i Vidta svarsåtgärder på en dator.

Viktigt

Du kan bara vidta den här åtgärden om:

  • Den enhet som du vidtar åtgärden på körs från Windows 10, version 1703 eller senare eller Windows 11
  • Filen tillhör inte betrodda utgivare från tredje part eller är inte signerad av Microsoft
  • Microsoft Defender Antivirus måste åtminstone köras på passivt läge. Mer information finns i Microsoft Defender Antivirus kompatibilitet.

Behörigheter

En av följande behörigheter krävs för att anropa detta API. Mer information, inklusive hur du väljer behörigheter, finns i Använda Microsoft Defender för slutpunkts-API:er

Behörighetstyp Behörighet Visningsnamn för behörighet
Program Machine.StopAndQuarantine Stoppa och sätta i karantän
Program Machine.Read.All "Läs alla maskinprofiler"
Program Machine.ReadWrite.All "Läsa och skriva all maskininformation"
Delegerat (arbets- eller skolkonto) Machine.StopAndQuarantine Stoppa och sätta i karantän

Anteckning

När du skaffar en token med hjälp av användarautentiseringsuppgifter:

  • Användaren måste ha minst följande rollbehörighet: 'Aktiva åtgärdsåtgärder'. (Mer information finns i Skapa och hantera roller)
  • Användaren måste ha åtkomst till enheten baserat på enhetsgruppinställningar (mer information finns i Skapa och hantera enhetsgrupper)

HTTP-begäran

POST https://api.securitycenter.microsoft.com/api/machines/{id}/StopAndQuarantineFile

Frågerubriker

Namn Typ Beskrivning
Auktorisering Sträng Bearer {token}. Obligatoriskt.
Content-Type sträng application/json. Obligatoriskt.

Frågebrödtext

Ange följande parametrar för ett JSON-objekt i begärans brödtext:

Parameter Typ Beskrivning
Kommentar Sträng Kommentar som ska associeras med åtgärden. Obligatoriskt.
Sha1 Sträng Skuggning1 av filen för att stoppa och sätta i karantän på enheten. Obligatoriskt.

Svar

Om det lyckas returnerar den här metoden 201 – Skapad svarskod och Maskinåtgärd i svarstexten.

Exempel

Begäran

Här är ett exempel på begäran.

POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/StopAndQuarantineFile 
{
  "Comment": "Stop and quarantine file on machine due to alert 441688558380765161_2136280442",
  "Sha1": "87662bc3d60e4200ceaf7aae249d1c343f4b83c9"
}