Exportieren der Bewertung von Softwaresicherheitsrisiken pro Gerät
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender Sicherheitsrisikomanagement
- Microsoft Defender XDR
Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.
Gibt alle bekannten Softwaresicherheitsrisiken und deren Details für alle Geräte pro Gerät zurück.
Unterschiedliche API-Aufrufe rufen unterschiedliche Datentypen ab. Da die Datenmenge groß sein kann, gibt es zwei Möglichkeiten, sie abzurufen:
Exportieren der JSON-Antwort zur Bewertung von Softwaresicherheitsrisiken Die API ruft alle Daten in Ihrem organization als JSON-Antworten ab. Diese Methode eignet sich am besten für kleine Organisationen mit weniger als 100.000 Geräten. Die Antwort ist paginiert, sodass Sie das Feld @odata.nextLink aus der Antwort verwenden können, um die nächsten Ergebnisse abzurufen.
Exportieren der Bewertung von Softwaresicherheitsrisiken über Dateien Diese API-Lösung ermöglicht das schnellere und zuverlässigere Pullen größerer Datenmengen. Via-Files wird für große Organisationen mit mehr als 100.000 Geräten empfohlen. Diese API ruft alle Daten in Ihrem organization als Downloaddateien ab. Die Antwort enthält URLs zum Herunterladen aller Daten aus Azure Storage. Mit dieser API können Sie alle Ihre Daten wie folgt aus Azure Storage herunterladen:
- Rufen Sie die API auf, um eine Liste der Download-URLs mit allen Ihren organization Daten abzurufen.
- Laden Sie alle Dateien mithilfe der Download-URLs herunter, und verarbeiten Sie die Daten wie Sie möchten.
Json-Antwort zur Bewertung von Sicherheitsrisiken bei Deltaexportsoftware Gibt eine Tabelle mit einem Eintrag für jede eindeutige Kombination von zurück: DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion, CveId und EventTimestamp. Die API ruft Daten in Ihrem organization als JSON-Antworten ab. Die Antwort ist paginiert, sodass Sie das @odata.nextLink Feld aus der Antwort verwenden können, um die nächsten Ergebnisse abzurufen.
Die vollständige "Bewertung der Softwaresicherheitsrisiken (JSON-Antwort)" wird verwendet, um eine gesamte Momentaufnahme der Bewertung der Softwaresicherheitsrisiken Ihrer organization nach Gerät zu erhalten. Der Api-Aufruf des Deltaexports wird jedoch verwendet, um nur die Änderungen abzurufen, die zwischen einem ausgewählten Datum und dem aktuellen Datum (der "Delta"-API-Aufruf) aufgetreten sind. Anstatt jedes Mal einen vollständigen Export mit einer großen Datenmenge zu erhalten, erhalten Sie nur spezifische Informationen zu neuen, behobenen und aktualisierten Sicherheitsrisiken. Der Aufruf der DELTA-Export-JSON-Antwort-API kann auch verwendet werden, um verschiedene KPIs zu berechnen, z. B. "Wie viele Sicherheitsrisiken wurden behoben?" oder "Wie viele neue Sicherheitsrisiken wurden meinem organization hinzugefügt?".
Da der Delta-Export-JSON-Antwort-API-Aufruf für Softwarerisiken nur Daten für einen bestimmten Datumsbereich zurückgibt, wird er nicht als vollständiger Export betrachtet.
Daten, die (entweder mithilfe von JSON-Antwort oder über Dateien) gesammelt werden, sind die aktuelle Momentaufnahme des aktuellen Zustands. Es enthält keine Verlaufsdaten. Um Verlaufsdaten zu sammeln, müssen Kunden die Daten in ihren eigenen Datenspeichern speichern.
Hinweis
Sofern nicht anders angegeben, handelt es sich bei allen aufgeführten Exportbewertungsmethoden um einen vollständigen Export und nach Gerät (auch als "pro Gerät" bezeichnet).
1. Exportieren der Bewertung von Softwaresicherheitsrisiken (JSON-Antwort)
1.1 Beschreibung der API-Methode
Diese API-Antwort enthält alle Daten der installierten Software pro Gerät. Gibt eine Tabelle mit einem Eintrag für jede eindeutige Kombination von DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion, CVEID zurück.
1.1.1 Einschränkungen
- Die maximale Seitengröße beträgt 200.000.
- Die Ratenbeschränkungen für diese API sind 30 Aufrufe pro Minute und 1.000 Aufrufe pro Stunde.
1.2 Berechtigungen
Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, einschließlich der Auswahl von Berechtigungen, finden Sie unter Verwenden Microsoft Defender for Endpoint APIs.
| Berechtigungstyp | Berechtigung | Anzeigename der Berechtigung |
|---|---|---|
| App | Vulnerability.Read.All | Informationen zur Bedrohungs- und Sicherheitsrisikoverwaltung lesen |
| Delegiert (Geschäfts-, Schul- oder Unikonto) | Vulnerability.Read | Informationen zur Bedrohungs- und Sicherheitsrisikoverwaltung lesen |
1.3 URL
GET /api/machines/SoftwareVulnerabilitiesByMachine
1.4 Parameter
- pageSize (Standard = 50.000): Anzahl der Ergebnisse in der Antwort.
- $top: Anzahl der zurückzugebenden Ergebnisse (gibt nicht zurück @odata.nextLink und ruft daher nicht alle Daten ab).
1.5 Eigenschaften
Hinweis
- Jeder Datensatz besteht aus ungefähr 1 KB Daten. Dies sollten Sie berücksichtigen, wenn Sie den richtigen pageSize-Parameter für Sie auswählen.
- In der Antwort werden möglicherweise einige zusätzliche Spalten zurückgegeben. Diese Spalten sind temporär und können entfernt werden. Verwenden Sie nur die dokumentierten Spalten.
- Die in der folgenden Tabelle definierten Eigenschaften werden alphabetisch nach Eigenschaften-ID aufgelistet. Beim Ausführen dieser API wird die resultierende Ausgabe nicht unbedingt in derselben Reihenfolge zurückgegeben, die in dieser Tabelle aufgeführt ist.
| Eigenschaft (ID) | Datentyp | Beschreibung | Beispiel für einen zurückgegebenen Wert |
|---|---|---|---|
| CveId | String | Eindeutiger Bezeichner, der dem Sicherheitsrisiko unter dem CVE-System (Common Vulnerabilities and Exposures) zugewiesen ist. | CVE-2020-15992 |
| CvssScore | String | Die CVSS-Bewertung der CVE. | 6.2 |
| DeviceId | String | Eindeutiger Bezeichner für das Gerät im Dienst. | 9eaf3a8b5962e0e6b1af9ec756664a9b823df2d1 |
| DeviceName | String | Vollqualifizierter Domänenname (FQDN) des Geräts. | johnlaptop.europe.contoso.com |
| DiskPaths | Array[Zeichenfolge] | Datenträger, der belegt, dass das Produkt auf dem Gerät installiert ist. | ["C:\Programme (x86)\Microsoft\Silverlight\Application\silverlight.exe"] |
| ExploitabilityLevel | String | Die Ausnutzbarkeitsebene dieser Sicherheitsanfälligkeit (NoExploit, ExploitIsPublic, ExploitIsVerified, ExploitIsInKit) | ExploitIsInKit |
| FirstSeenTimestamp | String | Zum ersten Mal wurde dieses Produkt CVE auf dem Gerät angezeigt. | 2020-11-03 10:13:34.8476880 |
| Id | String | Eindeutiger Bezeichner für den Datensatz. | 123ABG55_573AG&mnp! |
| LastSeenTimestamp | String | Das letzte Mal wurde die Softwaresicherheitsanfälligkeit auf dem Gerät festgestellt. | 2020-11-03 10:13:34.8476880 |
| OSPlatform | String | Plattform des Betriebssystems, das auf dem Gerät ausgeführt wird. Diese Eigenschaft gibt bestimmte Betriebssysteme mit Variationen innerhalb derselben Familie an, z. B. Windows 10 und Windows 11. Weitere Informationen finden Sie unter Microsoft Defender Vulnerability Management unterstützten Betriebssysteme und Plattformen. | Windows10 und Windows 11 |
| RbacGroupName | String | Die Gruppe der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC). Wenn dieses Gerät keiner RBAC-Gruppe zugewiesen ist, lautet der Wert "Nicht zugewiesen". Wenn das organization keine RBAC-Gruppen enthält, lautet der Wert "None". | Server |
| RecommendationReference | String | Ein Verweis auf die Empfehlungs-ID im Zusammenhang mit dieser Software. | va--microsoft--silverlight |
| RecommendedSecurityUpdate (optional) | String | Name oder Beschreibung des Sicherheitsupdates, das vom Softwarehersteller bereitgestellt wird, um das Sicherheitsrisiko zu beheben. | April 2020 Security Updates |
| RecommendedSecurityUpdateId (optional) | String | Bezeichner der anwendbaren Sicherheitsupdates oder bezeichner für die entsprechenden Anleitungen oder Wissensdatenbank (KB)-Artikel | 4550961 |
| RegistryPaths | Array[Zeichenfolge] | Registrierungsnachweis, dass das Produkt auf dem Gerät installiert ist. | ["HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\MicrosoftSilverlight"] |
| SecurityUpdateAvailable | Boolesch | Gibt an, ob ein Sicherheitsupdate für die Software verfügbar ist. | Mögliche Werte sind true oder false. |
| SoftwareName | String | Name des Softwareprodukts. | Chrome |
| SoftwareVendor | String | Name des Softwareherstellers. | |
| SoftwareVersion | String | Versionsnummer des Softwareprodukts. | 81.0.4044.138 |
| VulnerabilitySeverityLevel | String | Schweregrad, der dem Sicherheitsrisiko basierend auf der CVSS-Bewertung zugewiesen ist. | Mittel |
1.6 Beispiele
1.6.1 Anforderungsbeispiel
GET https://api.securitycenter.microsoft.com/api/machines/SoftwareVulnerabilitiesByMachine?pageSize=5
1.6.2 Antwortbeispiel
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Collection(microsoft.windowsDefenderATP.api.AssetVulnerability)",
"value": [
{
"id": "00044f612345baf759462dbe6db733b6a9c59ab4_edge_10.0.17763.1637__",
"deviceId": "00044f612345daf756462bde6bd733b9a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2de2f5ea3142726e63f16a.DomainPII_21eeb80d089e79bdfa178eabfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "edge",
"softwareVersion": "10.0.17763.1637",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-edge",
"securityUpdateAvailable": true
},
{
"id": "00044f912345baf756462bde6db733b9a9c56ad4_.net_framework_4.0.0.0__",
"deviceId": "00044f912345daf756462bde6db733b6a9c59ad4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2be2f5ea3142726e63f16a.DomainPII_21eeb80b086e79bdfa178eabfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": ".net_framework",
"softwareVersion": "4.0.0.0",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"SOFTWARE\\Microsoft\\NET Framework Setup\\NDP\\v4.0\\Client\\Install"
],
"lastSeenTimestamp": "2020-12-30 13:18:33",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-.net_framework",
"securityUpdateAvailable": true
},
{
"id": "00044f912345baf756462dbe6db733d6a9c59ab4_system_center_2012_endpoint_protection_4.10.209.0__",
"deviceId": "00044f912345daf756462bde6db733b6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eed224b2be2f5ea3142726e63f16a.DomainPII_21eed80b089e79bdfa178eadfa25e8be6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "system_center_2012_endpoint_protection",
"softwareVersion": "4.10.209.0",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Microsoft Security Client"
],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-system_center_2012_endpoint_protection",
"securityUpdateAvailable": true
},
{
"id": "00044f612345bdaf759462dbe6bd733b6a9c59ab4_onedrive_20.245.1206.2__",
"deviceId": "00044f91234daf759492dbe6bd733b6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_189663d45612eed224b2be2f5ea3142729e63f16a.DomainPII_21eed80b086e79bdfa178eadfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "onedrive",
"softwareVersion": "20.245.1206.2",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_USERS\\S-1-5-21-2944539346-1310925172-2349113062-1001\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\OneDriveSetup.exe"
],
"lastSeenTimestamp": "2020-12-30 13:18:33",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-onedrive",
"securityUpdateAvailable": true
},
{
"id": "00044f912345daf759462bde6db733b6a9c56ab4_windows_10_10.0.17763.1637__",
"deviceId": "00044f912345daf756462dbe6db733d6a9c59ab4",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_18663b45912eeb224d2be2f5ea3142729e63f16a.DomainPII_21eeb80d086e79bdfa178eadfa25e8de6acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.17763.1637",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "windows_10" "Windows_11",
"softwareVersion": "10.0.17763.1637",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [],
"lastSeenTimestamp": "2020-12-30 14:17:26",
"firstSeenTimestamp": "2020-12-30 11:07:15",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-windows_10" "va-_-microsoft-_-windows_11",
"securityUpdateAvailable": true
}
],
"@odata.nextLink": "https://api.securitycenter.microsoft.com/api/machines/SoftwareVulnerabilitiesByMachine?pagesize=5&$skiptoken=eyJFeHBvcnREZWZpbml0aW9uIjp7IlRpbWVQYXRoIjoiMjAyMS0wMS0xMS8xMTAxLyJ9LCJFeHBvcnRGaWxlSW5kZXgiOjAsIkxpbmVTdG9wcGVkQXQiOjV9"
}
2. Exportieren der Bewertung von Softwarerisiken (über Dateien)
2.1 API-Methodenbeschreibung
Diese API-Antwort enthält alle Daten der installierten Software pro Gerät. Gibt eine Tabelle mit einem Eintrag für jede eindeutige Kombination von DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion, CVEID zurück.
2.1.2 Einschränkungen
Die Ratenbeschränkungen für diese API sind 5 Aufrufe pro Minute und 20 Aufrufe pro Stunde.
2.2 Berechtigungen
Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, einschließlich der Auswahl von Berechtigungen, finden Sie unter Verwenden Microsoft Defender for Endpoint APIs.
| Berechtigungstyp | Berechtigung | Anzeigename der Berechtigung |
|---|---|---|
| App | Vulnerability.Read.All | Informationen zur Bedrohungs- und Sicherheitsrisikoverwaltung lesen |
| Delegiert (Geschäfts-, Schul- oder Unikonto) | Vulnerability.Read | Informationen zur Bedrohungs- und Sicherheitsrisikoverwaltung lesen |
2.3 URL
GET /api/machines/SoftwareVulnerabilitiesExport
2.4 Parameter
- sasValidHours: Die Anzahl der Stunden, für die die Download-URLs gültig sind (maximal 24 Stunden).
2.5 Eigenschaften
Hinweis
Die Dateien sind gzip-komprimiert & im mehrteiligen JSON-Format.
Die Download-URLs sind nur 3 Stunden gültig; Andernfalls können Sie den Parameter verwenden.
Um die maximale Downloadgeschwindigkeit Ihrer Daten zu erzielen, können Sie sicherstellen, dass Sie aus derselben Azure-Region herunterladen, in der sich Ihre Daten befinden.
Jeder Datensatz hat ungefähr 1 KB Daten. Dies sollten Sie berücksichtigen, wenn Sie den richtigen pageSize-Parameter für Sie auswählen.
In der Antwort werden möglicherweise einige zusätzliche Spalten zurückgegeben. Diese Spalten sind temporär und können entfernt werden. Verwenden Sie nur die dokumentierten Spalten.
| Eigenschaft (ID) | Datentyp | Beschreibung | Beispiel für einen zurückgegebenen Wert |
|---|---|---|---|
| Exportieren von Dateien | array[string] | Eine Liste der Download-URLs für Dateien, die die aktuelle Momentaufnahme des organization enthalten. | ["https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...1", "https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...2"] |
| GeneratedTime | String | Der Zeitpunkt, zu dem der Export generiert wurde. | 2021-05-20T08:00:00Z |
2.6 Beispiele
2.6.1 Anforderungsbeispiel
GET https://api-us.securitycenter.contoso.com/api/machines/SoftwareVulnerabilitiesExport
2.6.2 Antwortbeispiel
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",
"exportFiles": [
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c000.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=...",
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c001.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=...",
"https://tvmexportstrstgeus.blob.core.windows.net/tvm-export/2021-01-11/1101/VaExport/json/OrgId=12345678-195f-4223-9c7a-99fb420fd000/part-00393-bcc26c4f-e531-48db-9892-c93ac5d72d5c.c002.json.gz?sv=2019-12-12&st=2021-01-11T11%3A35%3A13Z&se=2021-01-11T14%3A35%3A13Z&sr=b&sp=r&sig=..."
],
"generatedTime": "2021-01-11T11:01:00Z"
}
3. Bewertung von Sicherheitsrisiken für Deltaexportsoftware (JSON-Antwort)
3.1 Beschreibung der API-Methode
Gibt eine Tabelle mit einem Eintrag für jede eindeutige Kombination von DeviceId, SoftwareVendor, SoftwareName, SoftwareVersion, CveId zurück. Die API ruft Daten in Ihrem organization als JSON-Antworten ab. Die Antwort ist paginiert, sodass Sie das @odata.nextLink Feld aus der Antwort verwenden können, um die nächsten Ergebnisse abzurufen. Im Gegensatz zur vollständigen Bewertung von Softwaresicherheitsrisiken (JSON-Antwort) (die verwendet wird, um eine gesamte Momentaufnahme der Bewertung von Softwaresicherheitsrisiken Ihrer organization nach Gerät abzurufen) wird der API-Aufruf zum Deltaexport verwendet, um nur die Änderungen abzurufen, die zwischen einem ausgewählten Datum und dem aktuellen Datum (der "Delta"-API-Aufruf) aufgetreten sind. Anstatt jedes Mal einen vollständigen Export mit einer großen Datenmenge zu erhalten, erhalten Sie nur spezifische Informationen zu neuen, behobenen und aktualisierten Sicherheitsrisiken. Der Aufruf der DELTA-Export-JSON-Antwort-API kann auch verwendet werden, um verschiedene KPIs zu berechnen, z. B. "Wie viele Sicherheitsrisiken wurden behoben?" oder "Wie viele neue Sicherheitsrisiken wurden meinem organization hinzugefügt?".
Hinweis
Es wird dringend empfohlen, mindestens einmal pro Woche den vollständigen Export der Softwarerisikobewertung nach Geräte-API-Aufruf zu verwenden, und diese zusätzlichen Exportsoftware-Sicherheitsrisiken werden durch den Aufruf der Geräte-API (Delta) an allen anderen Tagen der Woche geändert. Im Gegensatz zu den anderen JSON-Antwort-APIs für Bewertungen handelt es sich beim "Deltaexport" nicht um einen vollständigen Export. Der Deltaexport umfasst nur die Änderungen, die zwischen einem ausgewählten Datum und dem aktuellen Datum (der API-Aufruf "Delta") vorgenommen wurden.
3.1.1 Einschränkungen
- Die maximale Seitengröße beträgt 200.000.
- Der parameter sinceTime hat maximal 14 Tage.
- Die Ratenbeschränkungen für diese API sind 30 Aufrufe pro Minute und 1.000 Aufrufe pro Stunde.
3.2 Berechtigungen
Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, einschließlich der Auswahl von Berechtigungen, finden Sie unter Verwenden Microsoft Defender for Endpoint APIs.
| Berechtigungstyp | Berechtigung | Anzeigename der Berechtigung |
|---|---|---|
| App | Vulnerability.Read.All | Informationen zur Bedrohungs- und Sicherheitsrisikoverwaltung lesen |
| Delegiert (Geschäfts-, Schul- oder Unikonto) | Vulnerability.Read | Informationen zur Bedrohungs- und Sicherheitsrisikoverwaltung lesen |
3.3 URL
GET /api/machines/SoftwareVulnerabilityChangesByMachine
3.4 Parameter
- sinceTime (erforderlich): Die Startzeit, ab der Datenänderungen angezeigt werden sollen. Das Sicherheitsrisikomanagement generiert alle 6 Stunden Daten zu neuen und aktualisierten Sicherheitsrisiken. Die zurückgegebenen Daten enthalten alle Änderungen, die in dem 6-Stunden-Zeitraum erfasst wurden, in den die angegebene daTime fällt, sowie die Änderungen in allen nachfolgenden 6-Stunden-Zeiträumen bis einschließlich der zuletzt generierten Daten.
- pageSize (Standard = 50.000): Anzahl der Ergebnisse in der Antwort.
- $top: Anzahl der zurückzugebenden Ergebnisse (gibt nicht zurück @odata.nextLink und ruft daher nicht alle Daten ab).
3.5 Eigenschaften
Jeder zurückgegebene Datensatz enthält alle Daten aus der vollständigen Bewertung von Softwaresicherheitsrisiken nach Geräte-API sowie zwei weitere Felder: EventTimestamp und Status.
Hinweis
- In der Antwort werden möglicherweise einige zusätzliche Spalten zurückgegeben. Diese Spalten sind temporär und können entfernt werden. Verwenden Sie daher nur die dokumentierten Spalten.
- Die in der folgenden Tabelle definierten Eigenschaften werden alphabetisch nach Eigenschaften-ID aufgelistet. Beim Ausführen dieser API wird die resultierende Ausgabe nicht unbedingt in derselben Reihenfolge zurückgegeben, die in dieser Tabelle aufgeführt ist.
| Eigenschaft (ID) | Datentyp | Beschreibung | Beispiel für zurückgegebenen Wert |
|---|---|---|---|
| CveId | String | Eindeutiger Bezeichner, der dem Sicherheitsrisiko unter dem CVE-System (Common Vulnerabilities and Exposures) zugewiesen ist. | CVE-2020-15992 |
| CvssScore | String | Die CVSS-Bewertung der CVE. | 6.2 |
| DeviceId | String | Eindeutiger Bezeichner für das Gerät im Dienst. | 9eaf3a8b5962e0e6b1af9ec756664a9b823df2d1 |
| DeviceName | String | Vollqualifizierter Domänenname (FQDN) des Geräts. | johnlaptop.europe.contoso.com |
| DiskPaths | Array[Zeichenfolge] | Datenträger, der belegt, dass das Produkt auf dem Gerät installiert ist. | ["C:\Programme (x86)\Microsoft\Silverlight\Application\silverlight.exe"] |
| EventTimestamp | String | Der Zeitpunkt, zu dem dieses Deltaereignis gefunden wurde. | 2021-01-11T11:06:08.291Z |
| ExploitabilityLevel | String | Die Ausnutzbarkeitsebene dieser Sicherheitsanfälligkeit (NoExploit, ExploitIsPublic, ExploitIsVerified, ExploitIsInKit) | ExploitIsInKit |
| FirstSeenTimestamp | String | Die CVE dieses Produkts wurde zum ersten Mal auf dem Gerät angezeigt. | 2020-11-03 10:13:34.8476880 |
| Id | String | Eindeutiger Bezeichner für den Datensatz. | 123ABG55_573AG&mnp! |
| LastSeenTimestamp | String | Das letzte Mal, wenn die CVE auf dem Gerät angezeigt wurde. | 2020-11-03 10:13:34.8476880 |
| OSPlatform | String | Plattform des Betriebssystems, das auf dem Gerät ausgeführt wird; spezifische Betriebssysteme mit Variationen innerhalb derselben Familie, z. B. Windows 10 und Windows 11. Weitere Informationen finden Sie unter Microsoft Defender Vulnerability Management unterstützten Betriebssysteme und Plattformen. | Windows10 und Windows 11 |
| RbacGroupName | String | Die Gruppe der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC). Wenn dieses Gerät keiner RBAC-Gruppe zugewiesen ist, lautet der Wert "Nicht zugewiesen". Wenn das organization keine RBAC-Gruppen enthält, lautet der Wert "None". | Server |
| RecommendationReference | Zeichenfolge | Ein Verweis auf die Empfehlungs-ID im Zusammenhang mit dieser Software. | va--microsoft--silverlight |
| RecommendedSecurityUpdate | String | Name oder Beschreibung des Sicherheitsupdates, das vom Softwarehersteller bereitgestellt wird, um das Sicherheitsrisiko zu beheben. | April 2020 Security Updates |
| RecommendedSecurityUpdateId | String | Bezeichner der anwendbaren Sicherheitsupdates oder bezeichner für die entsprechenden Anleitungen oder Wissensdatenbank (KB)-Artikel | 4550961 |
| RegistryPaths | Array[Zeichenfolge] | Registrierungsnachweis, dass das Produkt auf dem Gerät installiert ist. | ["HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome"] |
| SoftwareName | String | Name des Softwareprodukts. | Chrome |
| SoftwareVendor | String | Name des Softwareherstellers. | |
| SoftwareVersion | String | Versionsnummer des Softwareprodukts. | 81.0.4044.138 |
| Status | String | Neu (für eine neue Sicherheitsanfälligkeit, die auf einem Gerät eingeführt wurde) (1) Behoben (wenn diese Sicherheitsanfälligkeit auf dem Gerät nicht mehr vorhanden ist, was bedeutet, dass sie behoben wurde). (2) Aktualisiert (wenn sich ein Sicherheitsrisiko auf einem Gerät geändert hat. Mögliche Änderungen sind: CVSS-Bewertung, Ausnutzungsstufe, Schweregrad, DiskPaths, RegistryPaths, RecommendedSecurityUpdate). | Fest |
| VulnerabilitySeverityLevel | String | Schweregrad, der dem Sicherheitsrisiko zugewiesen ist. Sie basiert auf der CVSS-Bewertung. | Mittel |
Klarstellungen
Wenn die Software von Version 1.0 auf Version 2.0 aktualisiert wurde und beide Versionen für CVE-A verfügbar gemacht werden, erhalten Sie zwei separate Ereignisse:
- Behoben: CVE-A in Version 1.0 wurde behoben.
- Neu: CVE-A in Version 2.0 wurde hinzugefügt.
Wenn ein bestimmtes Sicherheitsrisiko (z. B. CVE-A) erstmals zu einem bestimmten Zeitpunkt (z. B. am 10. Januar) für Software mit Version 1.0 erkannt wurde und einige Tage später diese Software auf Version 2.0 aktualisiert wurde, die auch für dieselbe CVE-A verfügbar gemacht wurde, erhalten Sie diese beiden getrennten Ereignisse:
- Behoben: CVE-X, FirstSeenTimestamp 10. Januar, Version 1,0.
- Neu: CVE-X, FirstSeenTimestamp 10. Januar, Version 2.0.
3.6 Beispiele
3.6.1 Anforderungsbeispiel
GET https://api.securitycenter.microsoft.com/api/machines/SoftwareVulnerabilityChangesByMachine?pageSize=5&sinceTime=2021-05-19T18%3A35%3A49.924Z
3.6.2 Antwortbeispiel
{
"@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Collection(microsoft.windowsDefenderATP.api.DeltaAssetVulnerability)",
"value": [
{
"id": "008198251234544f7dfa715e278d4cec0c16c171_chrome_87.0.4280.88__",
"deviceId": "008198251234544f7dfa715e278b4cec0c19c171",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_1c8fee370690ca24b6a0d3f34d193b0424943a8b8.DomainPII_0dc1aee0fa366d175e514bd91a9e7a5b2b07ee8e.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "google",
"softwareName": "chrome",
"softwareVersion": "87.0.4280.88",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Google Chrome"
],
"lastSeenTimestamp": "2021-01-04 00:29:42",
"firstSeenTimestamp": "2020-11-06 03:12:44",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-google-_-chrome",
"status": "Fixed",
"eventTimestamp": "2021-01-11T11:06:08.291Z"
},
{
"id": "00e59c61234533860738ecf488eec8abf296e41e_onedrive_20.64.329.3__",
"deviceId": "00e56c91234533860738ecf488eec8abf296e41e",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_82c13a8ad8cf3dbaf7bf34fada9fa3aebc124116.DomainPII_21eeb80d086e79dbfa178eadfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.18363.1256",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "onedrive",
"softwareVersion": "20.64.329.3",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_USERS\\S-1-5-21-2127521184-1604012920-1887927527-24918864\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\OneDriveSetup.exe"
],
"lastSeenTimestamp": "2020-12-11 19:49:48",
"firstSeenTimestamp": "2020-12-07 18:25:47",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-onedrive",
"status": "Fixed",
"eventTimestamp": "2021-01-11T11:06:08.291Z"
},
{
"id": "01aa8c73095bb12345918663f3f94ce322107d24_firefox_83.0.0.0_CVE-2020-26971_",
"deviceId": "01aa8c73065bb12345918693f3f94ce322107d24",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_42684eb981bea2d670027e7ad2caafd3f2b381a3.DomainPII_21eed80b086e76dbfa178eabfa25e8de9acfa346.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "mozilla",
"softwareName": "firefox",
"softwareVersion": "83.0.0.0",
"cveId": "CVE-2020-26971",
"vulnerabilitySeverityLevel": "High",
"recommendedSecurityUpdate": "193220",
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Mozilla Firefox\\firefox.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Mozilla Firefox 83.0 (x86 en-US)"
],
"lastSeenTimestamp": "2021-01-05 17:04:30",
"firstSeenTimestamp": "2020-05-06 12:42:19",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-mozilla-_-firefox",
"status": "Fixed",
"eventTimestamp": "2021-01-11T11:06:08.291Z"
},
{
"id": "026f0fcb12345fbd2decd1a339702131422d362e_project_16.0.13701.20000__",
"deviceId": "029f0fcb13245fbd2decd1a336702131422d392e",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_a5706750acba75f15d69cd17f4a7fcd268d6422c.DomainPII_f290e982685f7e8eee168b4332e0ae5d2a069cd6.corp.contoso.com",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.19042.685",
"osArchitecture": "x64",
"softwareVendor": "microsoft",
"softwareName": "project",
"softwareVersion": "16.0.13701.20000",
"cveId": null,
"vulnerabilitySeverityLevel": null,
"recommendedSecurityUpdate": null,
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\ProjectProRetail - en-us"
],
"lastSeenTimestamp": "2021-01-03 23:38:03",
"firstSeenTimestamp": "2019-08-01 22:56:12",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-microsoft-_-project",
"status": "Fixed",
"eventTimestamp": "2021-01-11T11:06:08.291Z"
},
{
"id": "038df381234510b357ac19d0113ef622e4e212b3_chrome_81.0.4044.138_CVE-2020-16011_",
"deviceId": "038df381234510d357ac19b0113ef922e4e212b3",
"rbacGroupName": "hhh",
"deviceName": "ComputerPII_365f5c0bb7202c163937dad3d017969b2d760eb4.DomainPII_29596a43a2ef2bbfa00f6a16c0cb1d108bc63e32.DomainPII_3c5fefd2e6fda2f36257359404f6c1092aa6d4b8.net",
"osPlatform": "Windows10" "Windows11",
"osVersion": "10.0.18363.1256",
"osArchitecture": "x64",
"softwareVendor": "google",
"softwareName": "chrome",
"softwareVersion": "81.0.4044.138",
"cveId": "CVE-2020-16011",
"vulnerabilitySeverityLevel": "High",
"recommendedSecurityUpdate": "ADV 200002",
"recommendedSecurityUpdateId": null,
"recommendedSecurityUpdateUrl": null,
"diskPaths": [
"C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"
],
"registryPaths": [
"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\{C4EBFDFD-0C55-3E5F-A919-E3C54949024A}"
],
"lastSeenTimestamp": "2020-12-10 22:45:41",
"firstSeenTimestamp": "2020-07-26 02:13:43",
"exploitabilityLevel": "NoExploit",
"recommendationReference": "va-_-google-_-chrome",
"status": "Fixed",
"eventTimestamp": "2021-01-11T11:06:08.291Z"
}
],
"@odata.nextLink": "https://wpatdadi-eus-stg.cloudapp.net/api/machines/SoftwareVulnerabilitiesTimeline?sincetime=2021-01-11&pagesize=5&$skiptoken=eyJFeHBvcnREZWZpbml0aW9uIjp7IlRpbWVQYXRoIjoiMjAyMS0wMS0xMS8xMTAxLyJ9LCJFeHBvcnRGaWxlSW5kZXgiOjAsIkxpbmVTdG9wcGVkQXQiOjV9"
}
Siehe auch
- Exportieren von Bewertungsmethoden und -eigenschaften pro Gerät
- Exportieren einer sicheren Konfigurationsbewertung pro Gerät
- Exportieren der Softwareinventurbewertung pro Gerät
Sonstiges im Zusammenhang
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.