API:t för att stoppa och sätta i karantän
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Anteckning
Om du är myndighetskund i USA kan du använda de URI:er som visas i Microsoft Defender för Slutpunkt för kunder inom myndigheter i USA.
Tips
För bättre prestanda kan du använda servern närmare din geografiska plats:
- api-us.securitycenter.microsoft.com
- api-eu.securitycenter.microsoft.com
- api-uk.securitycenter.microsoft.com
API-beskrivning
Sluta utföra en fil på en enhet och ta bort den.
Begränsningar
- Prisbegränsningar för detta API är 100 samtal per minut och 1 500 samtal per timme.
Anteckning
Den här sidan fokuserar på att utföra maskinåtgärder via API. Mer information om funktionen för svarsåtgärder via Microsoft Defender för Slutpunkt finns i Vidta svarsåtgärder på en dator.
Viktigt
Du kan bara vidta den här åtgärden om:
- Den enhet som du vidtar åtgärden på körs från Windows 10, version 1703 eller senare eller Windows 11
- Filen tillhör inte betrodda utgivare från tredje part eller är inte signerad av Microsoft
- Microsoft Defender Antivirus måste åtminstone köras på passivt läge. Mer information finns i Microsoft Defender Antivirus kompatibilitet.
Behörigheter
En av följande behörigheter krävs för att anropa detta API. Mer information, inklusive hur du väljer behörigheter, finns i Använda Microsoft Defender för slutpunkts-API:er
| Behörighetstyp | Behörighet | Visningsnamn för behörighet |
|---|---|---|
| Program | Machine.StopAndQuarantine | Stoppa och sätta i karantän |
| Program | Machine.Read.All | "Läs alla maskinprofiler" |
| Program | Machine.ReadWrite.All | "Läsa och skriva all maskininformation" |
| Delegerat (arbets- eller skolkonto) | Machine.StopAndQuarantine | Stoppa och sätta i karantän |
Anteckning
När du skaffar en token med hjälp av användarautentiseringsuppgifter:
- Användaren måste ha minst följande rollbehörighet: 'Aktiva åtgärdsåtgärder'. (Mer information finns i Skapa och hantera roller)
- Användaren måste ha åtkomst till enheten baserat på enhetsgruppinställningar (mer information finns i Skapa och hantera enhetsgrupper)
HTTP-begäran
POST https://api.securitycenter.microsoft.com/api/machines/{id}/StopAndQuarantineFile
Frågerubriker
| Namn | Typ | Beskrivning |
|---|---|---|
| Auktorisering | Sträng | Bearer {token}. Obligatoriskt. |
| Content-Type | sträng | application/json. Obligatoriskt. |
Frågebrödtext
Ange följande parametrar för ett JSON-objekt i begärans brödtext:
| Parameter | Typ | Beskrivning |
|---|---|---|
| Kommentar | Sträng | Kommentar som ska associeras med åtgärden. Obligatoriskt. |
| Sha1 | Sträng | Skuggning1 av filen för att stoppa och sätta i karantän på enheten. Obligatoriskt. |
Svar
Om det lyckas returnerar den här metoden 201 – Skapad svarskod och Maskinåtgärd i svarstexten.
Exempel
Begäran
Här är ett exempel på begäran.
POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/StopAndQuarantineFile
{
"Comment": "Stop and quarantine file on machine due to alert 441688558380765161_2136280442",
"Sha1": "87662bc3d60e4200ceaf7aae249d1c343f4b83c9"
}