Získání výsledků živé odpovědi

Platí pro:

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Poznámka

Pokud jste zákazníkem státní správy USA, použijte identifikátory URI uvedené v Microsoft Defender for Endpoint pro zákazníky státní správy USA.

Tip

Pro lepší výkon můžete použít server blíže k vašemu geografickému umístění:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Popis rozhraní API

Načte konkrétní výsledek příkazu živé odpovědi podle svého indexu.

Omezení

  1. Omezení rychlosti pro toto rozhraní API jsou 100 volání za minutu a 1500 volání za hodinu.

Minimální požadavky

Než budete moct zahájit relaci na zařízení, ujistěte se, že splňujete následující požadavky:

Oprávnění

K volání tohoto rozhraní API se vyžaduje jedno z následujících oprávnění. Další informace, včetně postupu při výběru oprávnění, najdete v tématu Začínáme.

Typ oprávnění Oprávnění Zobrazovaný název oprávnění
Application Machine.Read.All Čtení všech profilů počítačů
Application Machine.ReadWrite.All Čtení a zápis všech informací o počítači
Delegovaný (pracovní nebo školní účet) Machine.LiveResponse Spuštění živé odpovědi na konkrétním počítači

Požadavek HTTP

GET https://api.securitycenter.microsoft.com/api/machineactions/{machine action
id}/GetLiveResponseResultDownloadLink(index={command-index})

Hlavičky požadavků

Name (Název) Typ Popis
Autorizace String Nosný {token}. Požadované.

Text požadavku

Prázdné

Reakce

Pokud je tato metoda úspěšná, vrátí tato metoda kód odpovědi 200, OK s objektem, který obsahuje odkaz na výsledek příkazu ve vlastnosti value . Tento odkaz je platný 30 minut a měl by se okamžitě použít ke stažení balíčku do místního úložiště. Odkaz, jehož platnost vypršela, je možné znovu vytvořit jiným voláním a není nutné znovu spouštět živou odpověď.

Vlastnosti přepisu runscriptu:

Vlastnost Popis
script_name Název spuštěného skriptu
exit_code Ukončovací kód spuštěného skriptu
script_output Standardní výstup spuštěného skriptu
script_errors Standardní výstup chyby spuštěného skriptu

Příklad

Příklad požadavku

Tady je příklad požadavku.

GET https://api.securitycenter.microsoft.com/api/machineactions/988cc94e-7a8f-4b28-ab65-54970c5d5018/GetLiveResponseResultDownloadLink(index=0)

Příklad odpovědi

Tady je příklad odpovědi.

HTTP/1.1 200 Ok

Typ obsahu: application/json

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Edm.String",
    "value": "https://core.windows.net/investigation-actions-data/ID/CustomPlaybookCommandOutput/4ed5e7807ad1fe59b00b664fe06a0f07?se=2021-02-04T16%3A13%3A50Z&sp=r&sv=2019-07-07&sr=b&sig=1dYGe9rPvUlXBPvYSmr6/OLXPY98m8qWqfIQCBbyZTY%3D"
}

Obsah souboru:

{
    "script_name": "minidump.ps1",
    "exit_code": 0,
    "script_output": "Transcript started, output file is C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Temp\\PSScriptOutputs\\PSScript_Transcript_{TRANSCRIPT_ID}.txt
C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip\n51 MB\n\u0000\u0000\u0000",
    "script_errors":""
}

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.