Freigeben über

Abrufen von Liveantwortergebnissen

  • Artikel

Gilt für:

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Hinweis

Wenn Sie ein US Government-Kunde sind, verwenden Sie die URIs, die unter Microsoft Defender für Endpunkt für US Government-Kunden aufgeführt sind.

Tipp

Um die Leistung zu verbessern, können Sie den Server näher an Ihrem geografischen Standort verwenden:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

API-Beschreibung

Ruft ein bestimmtes Ergebnis des Liveantwortbefehls anhand seines Indexes ab.

Begrenzungen

  1. Ratenbeschränkungen für diese API sind 100 Aufrufe pro Minute und 1500 Aufrufe pro Stunde.

Mindestanforderungen

Bevor Sie eine Sitzung auf einem Gerät initiieren können, stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen:

Berechtigungen

Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, einschließlich der Auswahl von Berechtigungen, finden Sie unter Erste Schritte.

Berechtigungstyp Berechtigung Anzeigename der Berechtigung
App Machine.Read.All Lesen aller Computerprofile
App Machine.ReadWrite.All Lesen und Schreiben aller Computerinformationen
Delegiert (Geschäfts-, Schul- oder Unikonto) Machine.LiveResponse Ausführen einer Liveantwort auf einem bestimmten Computer

HTTP-Anforderung

GET https://api.securitycenter.microsoft.com/api/machineactions/{machine action
id}/GetLiveResponseResultDownloadLink(index={command-index})

Anforderungsheader

Name Typ Beschreibung
Authorization Zeichenfolge Bearer {token}. Erforderlich.

Anforderungstext

Empty

Antwort

Bei erfolgreicher Ausführung gibt die Methode den Antwortcode 200, Ok mit dem Objekt zurück, das den Link zum Befehlsergebnis in der value-Eigenschaft enthält. Dieser Link ist 30 Minuten lang gültig und sollte sofort zum Herunterladen des Pakets in einen lokalen Speicher verwendet werden. Ein abgelaufener Link kann durch einen anderen Aufruf neu erstellt werden, und es ist nicht erforderlich, die Liveantwort erneut auszuführen.

Runscript-Transkripteigenschaften:

Eigenschaft Beschreibung
script_name Name des ausgeführten Skripts
exit_code Exitcode des ausgeführten Skripts
script_output Standardausgabe des ausgeführten Skripts
script_errors Standardfehlerausgabe des ausgeführten Skripts

Beispiel

Anforderungsbeispiel

Hier sehen Sie ein Beispiel für die Anforderung.

GET https://api.securitycenter.microsoft.com/api/machineactions/988cc94e-7a8f-4b28-ab65-54970c5d5018/GetLiveResponseResultDownloadLink(index=0)

Anforderungsbeispiel

Hier ist ein Beispiel für die Antwort.

HTTP/1.1 200 Ok

Inhaltstyp: application/json

{
    "@odata.context": "https://api.securitycenter.microsoft.com/api/$metadata#Edm.String",
    "value": "https://core.windows.net/investigation-actions-data/ID/CustomPlaybookCommandOutput/4ed5e7807ad1fe59b00b664fe06a0f07?se=2021-02-04T16%3A13%3A50Z&sp=r&sv=2019-07-07&sr=b&sig=1dYGe9rPvUlXBPvYSmr6/OLXPY98m8qWqfIQCBbyZTY%3D"
}

Dateiinhalt:

{
    "script_name": "minidump.ps1",
    "exit_code": 0,
    "script_output": "Transcript started, output file is C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Temp\\PSScriptOutputs\\PSScript_Transcript_{TRANSCRIPT_ID}.txt
C:\\windows\\TEMP\\OfficeClickToRun.dmp.zip\n51 MB\n\u0000\u0000\u0000",
    "script_errors":""
}

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.