Jaa

Reaaliaikaisen vastauksen tulosten hakeminen

  • Artikkeli

Koskee seuraavia:

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Huomautus

Jos olet Yhdysvaltain valtionhallinnon asiakas, käytä Microsoft Defender for Endpoint for Us Government -asiakkaille lueteltuja URI-osoitteita.

Vihje

Suorituskyvyn parantamiseksi voit käyttää palvelinta lähempänä maantieteellistä sijaintiasi:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Ohjelmointirajapinnan kuvaus

Hakee tietyn reaaliaikaisen vastauksen komentotuloksen indeksinsä mukaan.

Rajoitukset

  1. Tämän ohjelmointirajapinnan nopeusrajoitukset ovat 100 puhelua minuutissa ja 1 500 puhelua tunnissa.

Vähimmäisvaatimukset

Ennen kuin voit aloittaa istunnon laitteessa, varmista, että täytät seuraavat vaatimukset:

Käyttöoikeudet

Tämän ohjelmointirajapinnan kutsumiseen tarvitaan jokin seuraavista käyttöoikeuksista. Lisätietoja, mukaan lukien käyttöoikeuksien valitseminen, on artikkelissa Aloittaminen.

Käyttöoikeustyyppi Lupa Käyttöoikeuden näyttönimi
Sovellus Machine.Read.All Kaikkien koneprofiilien lukuoikeudet
Sovellus Machine.ReadWrite.All Kaikkien konetietojen luku- ja kirjoitusoikeudet
Delegoitu (työpaikan tai oppilaitoksen tili) Machine.LiveResponse Reaaliaikaisen vastauksen suorittaminen tietyssä tietokoneessa

HTTP-pyyntö

GET https://api.securitycenter.microsoft.com/api/machineactions/{machine action
id}/GetLiveResponseResultDownloadLink(index={command-index})

Pyynnön otsikot

Nimi Kirjoita Kuvaus
Lupa Merkkijono Haltija {token}. Pakollinen.

Pyynnön leipäteksti

Tyhjä

Vastaus

Jos tämä menetelmä onnistuu, se palauttaa arvon 200, OK-vastauskoodi ja objekti, joka sisältää linkin arvo-ominaisuuden komentotulokseen. Tämä linkki on voimassa 30 minuuttia, ja sitä tulee käyttää heti paketin lataamiseen paikalliseen tallennustilaan. Vanhentunut linkki voidaan luoda uudelleen toisella kutsulla, eikä reaaliaikaista vastausta tarvitse suorittaa uudelleen.

Runscript-tallenneominaisuudet:

Ominaisuus Kuvaus
script_name Suoritettu komentosarjan nimi
exit_code Suoritettu komentosarjan lopetuskoodi
script_output Suoritettu komentosarjan vakiotuloste
script_errors Suoritettu komentosarjan vakiovirhetuloste

Esimerkki

Esimerkkipyyntö

Tässä on esimerkki pyynnöstä.

GET https://api.securitycenter.microsoft.com/api/machineactions/988cc94e-7a8f-4b28-ab65-54970c5d5018/GetLiveResponseResultDownloadLink(index=0)

Vastausesimerkki

Tässä on esimerkki vastauksesta.

HTTP/1.1 200 Ok

Content-type: application/json

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Edm.String",
    "value": "https://core.windows.net/investigation-actions-data/ID/CustomPlaybookCommandOutput/4ed5e7807ad1fe59b00b664fe06a0f07?se=2021-02-04T16%3A13%3A50Z&sp=r&sv=2019-07-07&sr=b&sig=1dYGe9rPvUlXBPvYSmr6/OLXPY98m8qWqfIQCBbyZTY%3D"
}

Tiedoston sisältö:

{
    "script_name": "minidump.ps1",
    "exit_code": 0,
    "script_output": "Transcript started, output file is C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Temp\\PSScriptOutputs\\PSScript_Transcript_{TRANSCRIPT_ID}.txt
C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip\n51 MB\n\u0000\u0000\u0000",
    "script_errors":""
}

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.