MachineAction-Ressourcentyp
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.
Hinweis
Wenn Sie ein US Government-Kunde sind, verwenden Sie bitte die URIs, die in Microsoft Defender for Endpoint für US Government-Kunden aufgeführt sind.
Tipp
Um die Leistung zu verbessern, können Sie den Server näher an Ihrem geografischen Standort verwenden:
- api-us.securitycenter.microsoft.com
- api-eu.securitycenter.microsoft.com
- api-uk.securitycenter.microsoft.com
- api-au.securitycenter.microsoft.com
- Weitere Informationen finden Sie unter Antwortaktionen.
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| Auflisten von MachineActions | Computeraktion | Auflisten von Computeraktionsentitäten . |
| MachineAction abrufen | Computeraktion | Ruft eine einzelne Machine Action-Entität ab. |
| Untersuchungspaket sammeln | Computeraktion | Erfassen des Untersuchungspakets von einem Computer. |
| SAS-URI für Untersuchungspaket erhalten | Computeraktion | Ruft den URI zum Herunterladen des Untersuchungspakets ab. |
| Computer isolieren | Computeraktion | Isolieren Sie den Computer vom Netzwerk. |
| Computer von Isolation wieder freigeben | Computeraktion | Freigeben des Computers aus der Isolation. |
| Einschränken der App-Ausführung | Computeraktion | Schränken Sie die Anwendungsausführung ein. |
| Entfernen von App-Einschränkungen | Computeraktion | Einschränkung der Anwendungsausführung entfernen. |
| Antivirusscan ausführen | Computeraktion | Führen Sie eine AV-Überprüfung mit Windows Defender aus (falls zutreffend). |
| Offboarding des Computers | Computeraktion | Offboarden des Computers von Microsoft Defender for Endpoint. |
| Beenden und Datei unter Quarantäne stellen | Computeraktion | Beenden Sie die Ausführung einer Datei auf einem Computer, und löschen Sie sie. |
| Ausführen einer Live-Antwort | Computeraktion | Führt eine Sequenz von Liveantwortbefehlen auf einem Gerät aus. |
| Abrufen des Ergebnisses der Live-Antwort | URL-Entität | Ruft den Downloadlink für bestimmte Liveantwortbefehlsergebnisse nach seinem Index ab. |
| Abbrechen einer Computeraktion | Computeraktion | Abbrechen einer aktiven Computeraktion. |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| ID | GUID | Identität der Entität "Computeraktion" . |
| type | Enum | Typ der Aktion. Mögliche Werte sind: "RunAntiVirusScan", "Offboard", "LiveResponse", "CollectInvestigationPackage", "Isolate", "Unisolate", "StopAndQuarantineFile", "RestrictCodeExecution" und "UnrestrictCodeExecution". |
| Bereich | string | Umfang der Aktion. "Full" oder "Selective" für Isolation, "Quick" oder "Full" für Anti-Virus Scan. |
| Anforderer | Zeichenfolge | Identität der Person, die die Aktion ausgeführt hat. |
| externalID | Zeichenfolge | Id, die der Kunde in der Anforderung für eine benutzerdefinierte Korrelation übermitteln kann. |
| requestSource | string | Der Name des Benutzers/der Anwendung, der die Aktion übermittelt hat. |
| -Befehle | Array | Auszuführende Befehle. Zulässige Werte sind PutFile, RunScript, GetFile. |
| cancellationRequestor | String | Identität der Person, die die Aktion abgebrochen hat. |
| requestorComment | String | Kommentar, der beim Ausgeben der Aktion geschrieben wurde. |
| CancellationComment | Zeichenfolge | Kommentar, der beim Abbrechen der Aktion geschrieben wurde. |
| status | Enum | Aktuelle status des Befehls. Mögliche Werte sind: "Pending", "InProgress", "Succeeded", "Failed", "TimeOut" und "Cancelled". |
| machineId | Zeichenfolge | ID des Computers , auf dem die Aktion ausgeführt wurde. |
| computerDnsName | String | Name des Computers , auf dem die Aktion ausgeführt wurde. |
| creationDateTimeUtc | DateTimeOffset | Das Datum und die Uhrzeit der Erstellung der Aktion. |
| cancellationDateTimeUtc | DateTimeOffset | Das Datum und die Uhrzeit, zu dem die Aktion abgebrochen wurde. |
| lastUpdateDateTimeUtc | DateTimeOffset | Datum und Uhrzeit der letzten Aktualisierung der Aktion status. |
| title | String | Titel der Computeraktion. |
| relatedFileInfo | Klasse | Enthält zwei Eigenschaften. string fileIdentifier, Enumeration fileIdentifierType mit den möglichen Werten: "Sha1", "Sha256" und "Md5". |
JSON-Darstellung
{
"id": "5382f7ea-7557-4ab7-9782-d50480024a4e",
"type": "Isolate",
"scope": "Selective",
"requestor": "Analyst@TestPrd.onmicrosoft.com",
"requestorComment": "test for docs",
"status": "Succeeded",
"machineId": "7b1f4967d9728e5aa3c06a9e617a22a4a5a17378",
"computerDnsName": "desktop-test",
"creationDateTimeUtc": "2019-01-02T14:39:38.2262283Z",
"lastUpdateDateTimeUtc": "2019-01-02T14:40:44.6596267Z",
"relatedFileInfo": null
}
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.